Datenschutzerklärung
1. Verantwortliche und Kontakt
Verantwortlich für die Datenverarbeitung auf dieser Website ist:
Christina Richter
FreisingBewegt — Prävention & Fitness
Seilerbrücklstraße 19
85354 Freising
Telefon: 0176 30357937
E-Mail: info@freisingbewegt.de
Website: https://freisingbewegt.de
Es ist kein Datenschutzbeauftragter bestellt, da die Voraussetzungen nach Art. 37 DSGVO nicht erfüllt sind (weniger als 20 Personen regelmäßig mit Datenverarbeitung beschäftigt).
2. Allgemeines zur Datenverarbeitung
Ich nehme den Schutz deiner persönlichen Daten sehr ernst. Personenbezogene Daten werden auf dieser Website nur im technisch notwendigen Umfang oder mit deiner ausdrücklichen Einwilligung erhoben. Eine Weitergabe an Dritte erfolgt nur im Rahmen dieser Datenschutzerklärung.
Ich weise darauf hin, dass die Datenübertragung im Internet (z. B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.
3. Deine Rechte (Betroffenenrechte)
Du hast jederzeit folgende Rechte bezüglich deiner personenbezogenen Daten:
- Auskunft (Art. 15 DSGVO): Du kannst eine Bestätigung verlangen, ob und welche personenbezogenen Daten von dir verarbeitet werden.
- Berichtigung (Art. 16 DSGVO): Du kannst die Berichtigung unrichtiger Daten verlangen.
- Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
- Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen.
- Datenübertragbarkeit (Art. 20 DSGVO): Du kannst die Herausgabe deiner Daten in einem gängigen, maschinenlesbaren Format verlangen.
- Widerspruch (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten jederzeit widersprechen, wenn die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) beruht.
- Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Für die Ausübung deiner Rechte wende dich an: info@freisingbewegt.de
Beschwerderecht bei einer Aufsichtsbehörde:
Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Die für mich zuständige Aufsichtsbehörde ist:
Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de
4. Hosting und technische Bereitstellung
4.1 Vercel (Website-Hosting)
Diese Website wird bei Vercel Inc. (340 S Lemon Ave #4133, Walnut, CA 91789, USA) gehostet. Beim Besuch der Website werden automatisch technische Zugriffsdaten in Server-Logfiles gespeichert:
- IP-Adresse (anonymisiert)
- Datum und Uhrzeit des Zugriffs
- Aufgerufene Seite (URL)
- Browsertyp und -version
- Betriebssystem
- Referrer-URL (zuvor besuchte Seite)
Diese Daten werden ausschließlich zur Sicherstellung eines störungsfreien Betriebs der Website und zur Verbesserung des Angebots ausgewertet. Eine Zusammenführung mit anderen Datenquellen findet nicht statt.
Vercel nutzt ein globales Edge-Netzwerk, wobei statische Inhalte bevorzugt von europäischen Servern ausgeliefert werden. Da Vercel seinen Sitz in den USA hat, kann eine Datenübertragung in die USA stattfinden. Die Übertragung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der sicheren und effizienten Bereitstellung der Website).
Auftragsverarbeitungsvertrag (DPA) mit Vercel liegt vor.
Weitere Informationen: vercel.com/legal/privacy-policy
4.2 SSL-/TLS-Verschlüsselung
Diese Website nutzt aus Sicherheitsgründen eine SSL- bzw. TLS-Verschlüsselung (erkennbar an „https://" und dem Schloss-Symbol in der Browserzeile). Dadurch werden Daten, die du an diese Website übermittelst, nicht von Dritten mitgelesen.
5. Datenbank und Kundenkonto
5.1 Supabase (Datenbank und Authentifizierung)
Für die Speicherung deiner Daten (Kundenkonto, Buchungen, Kurshistorie) und die Authentifizierung nutze ich Supabase Inc. (970 Toa Payoh North #07-04, Singapore 318992). Die Datenbank wird in der EU-Region Frankfurt (eu-central-1) bei Amazon Web Services (AWS) betrieben. Deine Daten verlassen die Europäische Union nicht.
Gespeicherte Daten bei Kontoerstellung und Buchung:
- Vorname, Nachname
- E-Mail-Adresse
- Telefonnummer
- Anschrift (Straße, PLZ, Ort)
- Buchungshistorie und Kursauswahl
- Punktekarten-Guthaben und -Nutzung
- Wartelistenstatus
- Zahlungsinformationen (Zahlungsart, Status — keine Kreditkartendaten, diese verbleiben bei Stripe)
Authentifizierung: Die Anmeldung erfolgt über einen sogenannten „Magic Link" — du erhältst einen Einmal-Link per E-Mail, über den du dich einloggst. Es werden keine Passwörter gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — notwendig für die Durchführung der Kursbuchung und Kontoverwaltung).
Speicherdauer: Deine Kundendaten werden für die Dauer der Geschäftsbeziehung gespeichert und anschließend gemäß den gesetzlichen Aufbewahrungsfristen aufbewahrt (Buchungsbelege: 10 Jahre nach §257 HGB / §147 AO, E-Mail-Kommunikation: 6 Monate).
Auftragsverarbeitungsvertrag (DPA) mit Supabase liegt vor.
Weitere Informationen: supabase.com/privacy
5.2 Gesundheitsbezogene Daten
Die Buchung bestimmter Kurse (z. B. Rückbildung, Schwangerschaftsfitness) sowie die Beantragung einer Krankenkassen-Erstattung implizieren gesundheitsbezogene Informationen (Schwangerschaft, Geburt). Diese Daten stellen besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO dar.
Die Verarbeitung erfolgt auf Grundlage deiner ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), die du im Rahmen der Kursbuchung durch Akzeptieren der Allgemeinen Geschäftsbedingungen und des Haftungsausschlusses erteilst.
Du kannst diese Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Ein Widerruf berührt nicht die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung.
6. Kontaktaufnahme
6.1 Kontaktformular
Wenn du mir über das Kontaktformular eine Nachricht sendest, werden die von dir eingegebenen Daten (Name, E-Mail-Adresse, Nachricht) zum Zweck der Bearbeitung deiner Anfrage und für den Fall von Rückfragen gespeichert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).
Speicherdauer: Deine Anfrage wird nach abschließender Bearbeitung gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
6.2 E-Mail-Kontakt
Wenn du mir per E-Mail schreibst, werden die von dir übermittelten Daten (E-Mail-Adresse, Inhalt, Betreff, Datum) gespeichert. Die Daten werden ausschließlich zur Bearbeitung deiner Anfrage verwendet.
7. Buchungssystem und Zahlungsabwicklung
7.1 Kursbuchung
Bei einer Kursbuchung werden folgende Daten erhoben:
- Vorname, Nachname
- E-Mail-Adresse
- Telefonnummer
- Anschrift (Straße, PLZ, Ort)
- Kursauswahl und Terminwahl
- Angabe zur Krankenkassen-Erstattung (ja/nein)
- Zustimmung zu AGB und Haftungsausschluss (mit Zeitstempel)
- Optional: Nachricht, Empfehlungsquelle
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
7.2 Stripe (Zahlungsabwicklung)
Für die Bezahlung von Einzeltickets (Drop-In) und Punktekarten nutze ich den Zahlungsdienstleister Stripe Inc. (354 Oyster Point Blvd, South San Francisco, CA 94080, USA).
Wenn du eine Zahlung per Stripe durchführst, werden die von dir eingegebenen Zahlungsdaten (z. B. Kreditkartennummer, Ablaufdatum, CVC) direkt an Stripe übermittelt und dort verarbeitet. Ich habe keinen Zugriff auf deine vollständigen Zahlungsdaten — ich erhalte lediglich eine Bestätigung über den Zahlungseingang sowie eine Transaktions-ID.
Die Datenübertragung an Stripe in den USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO. Stripe ist zudem nach dem PCI DSS Standard zertifiziert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — Abwicklung der Zahlung).
Auftragsverarbeitungsvertrag (DPA) mit Stripe liegt vor.
Weitere Informationen: stripe.com/de/privacy
7.3 Rechnungsstellung
Bei der Buchung eines Blockkurses oder nach einer Stripe-Zahlung wird automatisch eine Rechnung erstellt. Die Rechnung enthält deinen Namen, deine Anschrift, die Kursdaten und den Zahlungsbetrag. Rechnungen werden als PDF-Datei per E-Mail versendet und in meinem System archiviert.
Speicherdauer: Rechnungen werden gemäß den steuerlichen Aufbewahrungsfristen 10 Jahre aufbewahrt (§257 HGB / §147 AO).
8. E-Mail-Versand
8.1 Resend (Transaktionale E-Mails)
Für den Versand automatisierter E-Mails (Buchungsbestätigungen, Kursinformationen, Rechnungen, Wartelisten-Benachrichtigungen, Stornierungen) nutze ich den E-Mail-Dienst Resend Inc. (44 Montgomery Street, Suite 800, San Francisco, CA 94104, USA).
Dabei werden folgende Daten an Resend übermittelt:
- E-Mail-Adresse
- Name (für die persönliche Anrede)
- E-Mail-Inhalt (Kursdaten, Termine, Rechnungen)
Die Datenübertragung in die USA erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Zur Qualitätssicherung werden Zustellinformationen protokolliert (ob eine E-Mail zugestellt, geöffnet oder als unzustellbar zurückgeschickt wurde). Die E-Mail-Inhalte werden nach 3 Monaten gelöscht, die Protokolleinträge nach 6 Monaten.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung — notwendige Kommunikation im Rahmen der Kursbuchung).
Auftragsverarbeitungsvertrag (DPA) mit Resend liegt vor.
Weitere Informationen: resend.com/legal/privacy-policy
8.2 ICS-Kalendereinladungen
Bei Buchungsbestätigungen und Terminänderungen werden deinen E-Mails ICS-Kalenderdateien angehängt, die du in deinen Kalender importieren kannst. Diese Dateien enthalten ausschließlich die Kurstermine (Datum, Uhrzeit, Ort) und werden lokal auf deinem Gerät verarbeitet.
9. Cookies und Einwilligung
9.1 Was sind Cookies?
Cookies sind kleine Textdateien, die dein Browser auf deinem Gerät speichert. Sie dienen dazu, die Website funktionsfähig zu machen, die Nutzung zu analysieren oder bestimmte Funktionen zu ermöglichen.
9.2 Technisch notwendige Cookies (ohne Einwilligung)
Diese Cookies sind für den Betrieb der Website zwingend erforderlich und können nicht deaktiviert werden:
| Cookie | Zweck | Ablauf |
|---|---|---|
sb-*-auth-token | Supabase-Authentifizierung (Login-Status) | Session / 1 Jahr |
cookie_consent | Speichert deine Cookie-Einstellungen | 1 Jahr |
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionalität der Website) bzw. §25 Abs. 2 TDDDG (technisch erforderliche Speicherung).
9.3 Statistik-Cookies (nur mit Einwilligung)
Diese Cookies werden nur gesetzt, wenn du dem über den Cookie-Banner zustimmst:
| Cookie | Zweck | Ablauf |
|---|---|---|
_ga | Google Analytics — Unterscheidung von Nutzern | 2 Jahre |
_ga_* | Google Analytics — Sitzungsstatus | 2 Jahre |
Ohne deine Einwilligung läuft Google Analytics in einem eingeschränkten Modus, in dem keine Cookies gesetzt und keine personenbezogenen Daten erhoben werden (Consent Mode v2).
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bzw. §25 Abs. 1 TDDDG.
9.4 Cookie-Einstellungen ändern
Du kannst deine Cookie-Einstellungen jederzeit über den Link „Cookie-Einstellungen" im Footer der Website ändern oder widerrufen.
10. Webanalyse
10.1 Google Analytics 4
Diese Website nutzt Google Analytics 4 (GA4), einen Webanalysedienst der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland). Google Analytics verwendet Cookies und ähnliche Technologien, um dein Nutzungsverhalten auf dieser Website zu analysieren.
Consent Mode v2:
Diese Website nutzt den Google Consent Mode v2. Das bedeutet:
- Ohne deine Einwilligung: Google Analytics läuft in einem eingeschränkten Modus. Es werden keine Cookies gesetzt und keine personenbezogenen Daten erhoben. Google erfasst lediglich anonymisierte, aggregierte Signale (sogenannte „Pings"), aus denen keine Rückschlüsse auf einzelne Personen möglich sind.
- Mit deiner Einwilligung: Google Analytics arbeitet im vollen Umfang. Cookies werden gesetzt, und du kannst über Sitzungen hinweg wiedererkannt werden.
Erfasste Daten (mit Einwilligung):
- Aufgerufene Seiten und Verweildauer
- Herkunft des Besuchs (Suchmaschine, direkter Aufruf, Social Media)
- Gerätetyp, Browser und Betriebssystem
- Ungefährer Standort (auf Stadtebene, basierend auf anonymisierter IP)
IP-Anonymisierung: In Google Analytics 4 ist die IP-Anonymisierung standardmäßig aktiviert. Deine vollständige IP-Adresse wird von Google nicht gespeichert.
Datenübertragung: Google Ireland Limited kann Daten an Google LLC (USA) übertragen. Die Übertragung erfolgt auf Grundlage von EU-Standardvertragsklauseln (SCCs) gemäß Art. 46 Abs. 2 lit. c DSGVO.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für den vollständigen Modus. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der anonymisierten Analyse des Nutzungsverhaltens) für den eingeschränkten Modus ohne Einwilligung.
Widerspruch / Opt-Out:
- Du kannst deine Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.
- Du kannst das Browser-Add-on zur Deaktivierung von Google Analytics installieren: tools.google.com/dlpage/gaoptout
Weitere Informationen: policies.google.com/privacy
11. Externe Dienste und Inhalte
11.1 Google Maps
Auf der Kontaktseite wird eine interaktive Karte von Google Maps (Google Ireland Limited) eingebunden, um dir meinen Standort anzuzeigen. Google Maps wird erst nach deiner Einwilligung über den Cookie-Banner geladen. Vor deiner Einwilligung wird ein statischer Platzhalter mit einem Button „Karte laden" angezeigt.
Beim Laden von Google Maps werden Daten (u. a. deine IP-Adresse) an Google übertragen. Google kann diese Daten an Google LLC (USA) weiterleiten. Die Übertragung erfolgt auf Grundlage von EU-Standardvertragsklauseln.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Weitere Informationen: policies.google.com/privacy
11.2 Google Fonts (lokal gehostet)
Diese Website verwendet die Schriftarten „Quicksand" und „Playfair Display" von Google Fonts. Die Schriften werden lokal auf dem eigenen Server gehostet und beim Seitenaufruf direkt von meiner Website geladen. Es findet keine Verbindung zu Google-Servern statt und es werden keine Daten an Google übertragen.
12. Social Media
Ich unterhalte Online-Präsenzen auf folgenden Plattformen, um mit Kundinnen und Interessentinnen zu kommunizieren:
- Instagram: @freising.bewegt
- Facebook: FreisingBewegt
- Google Business Profil: FreisingBewegt auf Google Maps
Beim Besuch dieser Plattformen gelten die Datenschutzbestimmungen der jeweiligen Anbieter. Ich habe keinen Einfluss auf die Datenverarbeitung durch diese Plattformen.
Auf meiner Website selbst sind keine Social-Media-Plugins (z. B. Facebook-Like-Button, Instagram-Einbettungen) integriert. Es werden beim Besuch meiner Website keine Daten an soziale Netzwerke übertragen.
Rechtsgrundlage für die Online-Präsenzen: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Öffentlichkeitsarbeit und Kommunikation).
Weitere Informationen:
- Instagram/Facebook (Meta): facebook.com/privacy/policy
- Google: policies.google.com/privacy
13. PDF-Dokumente
Im Rahmen der Kursbuchung und -abwicklung werden PDF-Dokumente erstellt und per E-Mail versendet:
- Rechnungen (Rechnung mit Name, Adresse, Kursdaten, Betrag)
- Teilnahmebescheinigungen (bei Krankenkassenkursen: Name, Kursdaten, Teilnahmebestätigung für die Krankenkasse)
- Kursmaterialien (z. B. Trainingspläne)
Diese PDFs werden in einem geschützten Speicherbereich (Supabase Storage, EU-Region Frankfurt) abgelegt und sind nur über zeitlich begrenzte, personalisierte Download-Links zugänglich.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
14. Datensicherheit
Ich setze technische und organisatorische Maßnahmen ein, um deine Daten gegen zufällige oder vorsätzliche Manipulation, Verlust, Zerstörung oder den Zugriff unberechtigter Personen zu schützen. Dazu gehören:
- SSL/TLS-Verschlüsselung der gesamten Website
- Passwortlose Authentifizierung (Magic Link) — keine Passwort-Datenbank
- Zugangsbeschränkung zum Admin-Bereich
- Regelmäßige Updates der eingesetzten Software
- Getrennte Speicherung von Zahlungsdaten (bei Stripe, nicht auf meinem Server)
- Geschützte Speicherung von PDFs (nicht öffentlich zugänglich)
15. Speicherdauer und Löschung
| Datenart | Speicherdauer | Grundlage |
|---|---|---|
| Kundenkonto (Name, E-Mail, Telefon, Adresse) | Dauer der Geschäftsbeziehung + gesetzliche Aufbewahrungsfristen | Art. 6 Abs. 1 lit. b DSGVO |
| Buchungsdaten und Rechnungen | 10 Jahre nach Ablauf des Kalenderjahres | §257 HGB / §147 AO |
| E-Mail-Kommunikation (Inhalte) | 3 Monate | Art. 6 Abs. 1 lit. f DSGVO |
| E-Mail-Protokolle (Zustellung, ohne Inhalt) | 6 Monate | Art. 6 Abs. 1 lit. f DSGVO |
| Kontaktanfragen | Nach Abschluss der Bearbeitung | Art. 6 Abs. 1 lit. f DSGVO |
| Server-Logfiles | 30 Tage (Vercel Standard) | Art. 6 Abs. 1 lit. f DSGVO |
| Google Analytics Daten | 14 Monate (GA4 Standard) | Art. 6 Abs. 1 lit. a DSGVO |
Nach Ablauf der jeweiligen Frist werden die Daten gelöscht oder anonymisiert, sofern keine weitergehenden Aufbewahrungspflichten bestehen.
16. Datenübertragung in Drittländer
Einige der von mir eingesetzten Dienstleister haben ihren Sitz außerhalb der Europäischen Union. In diesen Fällen ist die Datenübertragung durch geeignete Garantien abgesichert:
| Dienst | Sitz | Schutzmaßnahme |
|---|---|---|
| Vercel (Hosting) | USA | EU-Standardvertragsklauseln (SCCs) + DPA |
| Stripe (Zahlung) | USA | EU-Standardvertragsklauseln (SCCs) + DPA + PCI DSS |
| Resend (E-Mails) | USA | EU-Standardvertragsklauseln (SCCs) + DPA |
| Google (Analytics, Maps) | Irland / USA | EU-Standardvertragsklauseln (SCCs) |
Supabase (Datenbank mit Kundendaten) wird in der EU-Region Frankfurt betrieben. Hier findet keine Drittlandübertragung statt.
17. Minderjährige
Mein Angebot richtet sich an Erwachsene (Schwangere und Mütter). Ich erhebe wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Solltest du feststellen, dass ein Kind ohne Zustimmung der Erziehungsberechtigten Daten übermittelt hat, kontaktiere mich bitte unter info@freisingbewegt.de.
18. Änderung der Datenschutzerklärung
Ich behalte mir vor, diese Datenschutzerklärung bei Bedarf anzupassen, um sie an geänderte rechtliche Rahmenbedingungen oder Änderungen des Diensteangebots anzupassen. Es gilt die jeweils aktuelle, auf dieser Website veröffentlichte Fassung.
Stand: Februar 2026