Datenschutzinformation über die Verarbeitung von Mitgliederdaten
Stronghold Gym Ulm Wilhelmsburg – Schons Gym GmbH
Datenschutz hat für die Schons Gym GmbH einen hohen Stellenwert. Im Folgenden informieren wir Sie daher ausführlich über die Art, den Umfang und Zweck der Verarbeitung von personenbezogenen Daten im Rahmen des Trainings im Stronghold Gym Ulm Wilhelmsburg.
- Verantwortlicher
Verantwortlich für die Datenverarbeitung ist
Prittwitzstraße 100
89075 Ulm
datenschutz@strongholdgym.de
- Art und Zweck der Datenverarbeitung
Bei der Buchung füllt das Mitglied einen Vertrag aus. Hierbei werden folgende Daten erhoben und verarbeitet:
- Name, Vorname
- Geburtsdatum
- Straße und Hausnummer
- PLZ und Wohnort
- Telefonnummer
- Profilbild
- Konto-Daten: Kontoinhaber, IBAN BIC Kreditinstitut, Einwilligung Einzug (bei Teilnahme am SEPA-Lastschriftverfahren)
- Kreditkarteninformationen (Bei Zahlung mit Kreditkarte)
- Vertragsbeginn
- Vertragsdauer
- Beitrag
- sonstige Vertragsdaten
- Zugangsdaten bei Betreten des Studios: Datum des Zutritts und Uhrzeit des Zutritts
- Kursbuchungen
Zu den personenbezogenen Daten gehören auch die Gesundheitsdaten, Anamnesen und Befunde, die wir erhebe oder Sie uns zur Verfügung stellen. Die Erhebung von Gesundheitsdaten ist Voraussetzung für die Trainingsplanung und Trainingsdurchführung. Werden die notwendigen Informationen nicht bereitgestellt, kann eine sorgfältige Trainingsplanung nicht erfolgen.
Bei Durchführung der Anamnese und regelmäßigen Testings werden folgende Daten erhoben und verarbeitet:
- Stammdaten (Name, Anschrift, Geburtsdatum, Telefon)
- Gewicht
- Größe
- Verletzungen und Beschwerden
- Momentane ärztliche Behandlungen/ Diagnosen
- aktuelle Erkrankungen/ Beschwerden
- Trainingsrelevante Nahrungsergänzungsmittel
- Medikamente?
- Messwerte zur Maximalkraft (wie bspw. Maximale Kraft in Squat, Deadlift, OHP, Benchpress, Handkraft, hipthrust, Sprunghöhe und Standweitsprung )
- Laktatschwelle
- VO2max
- Bewertung von Bewegungsqualität, Kraftausdauer und Beweglichkeit
- Videoaufnahmen für die Testung der Bewegungsqualität
Während des Trainings werden die folgenden Daten erhoben:
- Art der Übung
- Anzahl der Sätze
- Anzahl der Wiederholungen
- Gewicht
- Ggf. übungsrelevante Parameter
Gesundheitsdaten von Mitgliedern unterliegen einem besonderen Schutz. Daher erfolgt die Verarbeitung erst nach Ihrer ausdrücklichen Einwilligung.
Die personenbezogenen Daten werden zu folgenden Zwecken erhoben:
- Vertragsdurchführung
- Terminplanung
- Erstellung von Rechnungen
- Kommunikation mit dem Mitglied
- Individuelle Trainingsplanung,-empfehlungen und Trainingsüberwachung
- Erfolgskontrolle
- Kontraindikationen
Ebenso dienen die Daten der Verteidigung gegen Rechtsansprüche. Eine Profilbildung findet nicht statt.
Wir verarbeite die erhobenen Daten daher gemäß Artikel 6 Absatz 1 b) DSGVO, soweit dies für die Durchführung des Vertragsverhältnisses erforderlich ist sowie aufgrund Ihrer Einwilligung gemäß Artikel 6 Absatz 1 a) DSGVO, soweit diese abgefragt wurde. Die Einwilligung ist jederzeit widerrufbar.
- Kommunikation mit dem Mitglied
- Telefon, SMS und E-Mail
Sie können uns per E-Mail, SMS oder Telefon kontaktieren. Ihre Anfrage inklusive aller daraus hervorgehenden personenbezogenen Daten (Name, Anfrage) werden zum Zwecke der Bearbeitung Ihres Anliegens bei mir gespeichert und verarbeitet. Diese Daten geben wir nicht ohne Ihre Einwilligung weiter.
Die Verarbeitung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, sofern Ihre Anfrage mit der Erfüllung eines Vertrags zusammenhängt oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist. In allen übrigen Fällen beruht die Verarbeitung auf unserem berechtigten Interesse an der effektiven Bearbeitung der an uns gerichteten Anfragen (Art. 6 Abs. 1 lit. f DSGVO) oder auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) sofern diese abgefragt wurde; die Einwilligung ist jederzeit widerrufbar.
Die von Ihnen an uns per Kontaktanfragen übersandten Daten verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihres Anliegens). Zwingende gesetzliche Bestimmungen – insbesondere gesetzliche Aufbewahrungsfristen – bleiben unberührt.
- Kommunikation über WhatsApp
Weiter nutzen wir für die Kommunikation mit unseren Mitgliederen und sonstigen Dritten unter anderem den Instant- Messaging-Dienst WhatsApp. Anbieter ist die WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland.
Die Kommunikation erfolgt über eine Ende-zu-Ende-Verschlüsselung (Peer-to-Peer), die verhindert, dass WhatsApp oder sonstige Dritte Zugriff auf die Kommunikationsinhalte erlangen können. WhatsApp erhält jedoch Zugriff auf Metadaten, die im Zuge des Kommunikationsvorgangs entstehen (z. B. Absender, Empfänger und Zeitpunkt). Wir weisen ferner darauf hin, dass WhatsApp nach eigener Aussage, personenbezogene Daten seiner Nutzer mit seiner in den USA ansässigen Konzernmutter Facebook teilt. Weitere Details zur Datenverarbeitung finden Sie in der Datenschutzrichtlinie von WhatsApp unter: https://www.whatsapp.com/legal/#privacy-policy.
Der Einsatz von WhatsApp erfolgt auf Grundlage unseres berechtigten Interesses an einer möglichst schnellen und effektiven Kommunikation mit Mitgliedern, Interessenten und sonstigen Geschäfts- und Vertragspartnern (Art. 6 Abs. 1 lit. f DSGVO).
Die zwischen uns auf WhatsApp ausgetauschten Kommunikationsinhalte verbleiben bei uns, bis Sie uns zur Löschung auffordern, Ihre Einwilligung widerrufen oder der Zweck für die Datenspeicherung entfällt. Zwingende gesetzliche Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
- Kommunikation über Signal
Für die Kommunikation mit unseren Mitgliedern und sonstigen Dritten nutzen wir unter anderem den Instant-
Messaging-Dienst Signal. Anbieter ist Privacy Signal Messenger, LLC 650 Castro Street, Suite 120-223
Mountain View, CA 94041 (nachfolgend „Signal“).
Die Kommunikation erfolgt über eine Ende-zu-Ende-Verschlüsselung (Peer-to-Peer), die verhindert, dass
Signal oder sonstige Dritte Zugriff auf die Kommunikationsinhalte erlangen können. Signal erhält jedoch
Zugriff auf technische Daten, die im Zuge des Kommunikationsvorgangs entstehen (z. B. Auth Tokens, Keys,
Push Tokens).
Weitere Details zur Datenverarbeitung finden Sie in der Datenschutzrichtlinie von Signal unter:
Der Einsatz von Signal erfolgt auf Grundlage unseres berechtigten Interesses an einer möglichst schnellen
und effektiven Kommunikation mit Mitgliedern, Interessenten und sonstigen Geschäfts- und Vertragspartnern
(Art. 6 Abs. 1 lit. f DSGVO). Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die
Datenverarbeitung ausschließlich auf Grundlage der Einwilligung; diese ist jederzeit mit Wirkung für die
Zukunft widerrufbar.
Die zwischen Ihnen und uns auf Signal ausgetauschten Kommunikationsinhalte verbleiben bei uns, bis Sie
uns zur Löschung auffordern, Ihre Einwilligung zur Speicherung widerrufen oder der Zweck für die
Datenspeicherung entfällt (z. B. nach abgeschlossener Bearbeitung Ihrer Anfrage). Zwingende gesetzliche
Bestimmungen – insbesondere Aufbewahrungsfristen – bleiben unberührt.
- Social Media
Wir unterhalte Onlinepräsenzen innerhalb sozialer Netzwerke und Plattformen, um mit den dort aktiven Mitgliedern, Interessenten und Nutzern zu kommunizieren und sie dort über unsere Leistungen informieren zu können. Beim Aufruf der jeweiligen Netzwerke und Plattformen gelten die Geschäftsbedingungen und die Datenverarbeitungsrichtlinien deren jeweiligen Betreiber. Soweit nicht anders im Rahmen unserer Datenschutzerklärung angegeben, verarbeiten wir die Daten der Nutzer, sofern diese mit uns innerhalb der sozialen Netzwerke und Plattformen kommunizieren, z.B. Beiträge auf unseren Onlinepräsenzen verfassen oder uns Nachrichten zusenden.
Rechtsgrundlage für die Verarbeitung der Daten sind Art. 6 Abs. 1 b) und 1 f) DSGVO.
- Software
Wir nutzen über das Internet zugängliche und auf den Servern Ihres Anbieters ausgeführte Softwaredienste (sogenannte “Cloud-Dienste”, auch bezeichnet als “Software as a Service”) für die folgenden Zwecke: Dokumentenspeicherung und Verwaltung, Austausch von Dokumenten, Inhalten und Informationen mit bestimmten Empfängern insbesondere unseren Mitgliedern.
Die Rechtsgrundlage der Verarbeitung bilden unsere berechtigten Interessen an effizienten und sicheren Verwaltungs- und Kommunikationsprozessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO) sowie die Erfüllung unserer vertraglichen Pflichten (Art. 6 Abs. 1 S. 1 lit. b DSGVO).
Google Suite
Um eine effiziente Trainings- und Beratungsbetreuung für unsere Mitglieder durchführen zu können, nutzen wir den Cloud-Speicher-Dienst Google Drive. Anbieter ist die Google Ireland Limited („Google“), Gordon House, Barrow Street, Dublin 4, Irland.
Google Drive ermöglicht es uns, über einen Uploadbereich Daten mit Ihnen zu teilen. Wenn wir oder Sie Inhalte hochladen, werden diese auf den Servern von Google Drive gespeichert.
Die Verwendung von Google Drive erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Der Websitebetreiber hat ein berechtigtes Interesse an einem zuverlässigen Uploadbereich auf seiner Website. Sofern eine entsprechende Einwilligung abgefragt wurde, erfolgt die Verarbeitung ausschließlich auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO; die Einwilligung ist jederzeit widerrufbar.
Das Unternehmen verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Der DPF ist ein Übereinkommen zwischen der Europäischen Union und den USA, der die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Weitere Informationen hierzu erhalten Sie vom Anbieter unter folgendem Link: https://www.dataprivacyframework.gov/participant/5780.
Auftragsverarbeitung
Wir haben einen Vertrag über Auftragsverarbeitung (AVV) zur Nutzung des oben genannten Dienstes geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Websitebesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeitet.
- Weitergabe von Daten
Vertrauliche Informationen, die ich ausgehändigt bekomme oder persönlich aufzeichne, werden so verwahrt, dass kein unbefugter Dritter Zugriff darauf nehmen kann.
Es erhalten nur diejenigen Personen und Stellen Ihre Daten, die diese zur Durchführung des Mitgliedsvertrages und gesetzlicher Pflichten brauchen. Dazu zählen z.B. Assistenten, Steuerberater und sonstige Erfüllungsgehilfen.
- Gymly
Wir nutzen zum Abschluss von Verträgen und zur Mitgliederverwaltung die Software „Gymly“ der Firma Gymly B.V (Chamber of Commerce numger: 86153528), Overtoom 143, (1054 HG) Amsterdam (nachfolgend „Gymly“)
Es handelt sich dabei um eine cloudbasierte Software für Fitnessstudios, Personaltrainer und Sporttreibende. Ihre Daten aus unsere Mitgliederbeziehung und sonstige uns zur Verfügung gestellte Daten sowie auch Ihre besonderen personenbezogenen Daten (z.B. Gesundheitsdaten) werden auf Severn in den Niederlanden verarbeitet und von AWS gehostet.
Jedes Mitglied erhält Zugriff auf die Gymly-App von Gymly. Die App bietet den Mitgliedern die Möglichkeit des orts- und endgeräteunabhängigen Zugriffs auf sämtliche zu seiner Person gespeicherten Daten. Mit Hilfe der App können die Mitglieder eihre Buchungen/Verträge mit mir verwalten und sich zu Kursen an- und abmelden. Darüber hinaus können wir mit unseren Mitgliedern über die Gymly-App kommunizieren und dort auch Trainingspläne für die Kunden hinterlegen
Für die Nutzung der App durch das Mitglieder ist ein Download im entsprechenden App-Store sowie eine Registrierung erforderlich. Das Mitglied wird über einen Linke, den wir ihm zur Verfügung stelle, hierzu eingeladen. Bei einem Vertragsabschluss über die Website wird das Mitglied auf die Website von Gymly weitergeleitet und legt dort im Rahmen des Vertragsabschlusses auch einen Account bei Gymly an. Die dazu eingegebenen Daten werden nur zum Zweck der Nutzung des jeweiligen Angebotes oder Dienstes verwendet, den das Mitglied nutzen möchte. Die Speicherung und Verarbeitung der bei der Registrierung und während der Nutzung durch das Mitglied angegebenen Daten erfolgt nicht durch uns, sondern durch den Betreiber der App.
In der App ist eine Zahlungsmethode hinterlegt, mit der das Mitglied bezahlen kann. Sobald das Mitglied eine Kreditkarte eingegeben hat, wird diese registriert und dem Mitglied zugeordnet
Rechtsgrundlage für die Verarbeitung ist, soweit Sie uns eine Einwilligung erteilt haben, Art. 6 Abs. 1 S. 1 lit. a) DSGVO. Außerdem erfolgt eine Verarbeitung auch auf der Rechtsgrundlage des Art. 6 Abs. 1 lit. f DSGVO auf Basis unseres berechtigten Interesses an einer effizienten Organisation und Dokumentation unserer Geschäftsvorgänge. Zudem erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO, soweit sie im Rahmen der Vertragsdurführung ist.
Nähere Informationen zu Gymly entnehmen Sie bitte den Datenschutzbestimmungen von Gymly unter https://www.gymly.io/privacy.
- Adyen
Für die Bezahlung der monatlichen Mitgliedsbeiträge oder sonstig Zahlungen nutzen wir Adyen, einen Dienst des Zahlungsdienstanbieters Adyen N.V., Simon Carmiggelstraat 6-50, 1011 DJ Amsterdam, Niederlande (im Folgenden „Adyen“).
Zahlungsdienste von Ayden sind auf der Website und in der Gymly-App eingebunden. Wenn das Mitglied einen Vertrag abschließt, werden seine Zahlungsdaten (z.B. Name, Zahlungssumme, Kontoverbindung, Kreditkartennummer) vom Zahlungsdienstleister zum Zwecke der Zahlungsabwicklung verarbeitet. Adyen erfasst und speichert die Daten und gibt sie nur an im Bezahlprozess beteiligte Dritte weiter.
Wir bieten folgende Zahlungsarten an:
aa) Zahlung per Kreditkarte
Sofern Sie sich für eine Kreditkartenzahlung entscheiden, werden personenbezogene Daten an Adyen übermittet. Sie willigen mit der Auswahl dieser Zahlungsoption in die zur Zahlungsabwicklung und Identitäts- und Bonitätsprüfung erforderliche Übermittlung ihrer personenbezogenen Daten an unseren Zahlungsdienstleister ein. Es handelt sich hierbei in der Regel um die folgenden Daten: Kartenart, Name des Karteninhabers, Kartennummer, Prüfziffer und Gültigkeitsdauer.
bb) SEPA-Lastschriftverfahren
Sofern Sie sich für eine Bezahlung im SEPA-Lastschriftverfahren entscheiden, werden personenbezogene Daten an Adyen übermittelt. Sie stimmen mit der Auswahl des Zahlungsmittels in eine Übermittlung an den Zahlungsdienstleister ein. Es handelt sich hierbei in der Regel um die folgenden Daten: Kontoinhaber, IBAN, Ermächtigung in das SEPA-Lastschriftverfahren
Für diese Transaktionen gelten die jeweiligen Vertrags- und Datenschutzbestimmungen von Adyen. Der Einsatz der Zahlungsdienstleister erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie im Interesse eines möglichst reibungslosen, komfortablen und sicheren Zahlungsvorgangs (Art. 6 Abs. 1 lit. f DSGVO).
Soweit für bestimmte Handlungen Ihre Einwilligung abgefragt wird, ist Art. 6 Abs. 1 lit. a DSGVO Rechtsgrundlage der Datenverarbeitung; Einwilligungen sind jederzeit für die Zukunft widerrufbar.
Details können auch der Datenschutzerklärung von Adyen entnommen werden: https://www.adyen.help/hc/en-us/categories/360002679940-Adyen-on-my-bank-statement
- sonstige Dienstleister
Auch von mir eingesetzte Auftragsverarbeiter und sonstige Dienstleister können zu den genannten Zwecken Daten erhalten. Dies sind Unternehmen in den Kategorien IT-Dienstleistungen, Banken, Telekommunikation, Inkasso sowie Druckdienstleistungen.
Im Übrigen geben wir Ihre Daten nur weiter, wenn gesetzliche Bestimmungen dies gebieten, Sie eingewilligt haben oder ich zur Erteilung einer Auskunft befugt bin. Unter diesen Voraussetzungen können Empfänger personenbezogener Daten z.B. öffentliche Stellen und Institutionen (z.B. Ämter, Finanzbehörden, Strafverfolgungsbehörden) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung sein.
Eine Datenübermittlung in Staaten außerhalb des Europäischen Wirtschaftsraums (Drittstaaten) findet nur in den in dieser Datenschutzerklärung genannten Fällen statt.
- Dauer der Speicherung/Sperrung der Daten
Alle persönlichen und trainingsrelevanten Angaben, händische Notizen und sonstige Informationen sowie Verträge werden digital aufbewahrt.
Wir verarbeiten und bewahren Ihre Daten für die Dauer Ihres Vertrages mit uns auf. Darüber hinaus unterliegen wir verschiedenen Aufbewahrungs- und Dokumentationspflichten.
In Deutschland können diese sich unter anderem aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergeben. Die dort vorgegebenen Fristen zur Aufbewahrung bzw. Dokumentation betragen bis zu zehn Jahren. Daneben beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, die nach den §§ 195 ff. BGB bis zu dreißig Jahre betragen können, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt.
Sobald die Aufbewahrung bzw. Speicherung der Daten nicht mehr zur Durchführung des Vertrages mit mir erforderlich ist und keine gesetzlichen Aufbewahrungsfristen bestehen, werden Ihre Daten unverzüglich gelöscht, sofern kein Grund zu der Annahme besteht, dass eine Löschung Ihre schutzwürdigen Interessen beeinträchtigt und eine Löschung wegen der besonderen Art der Speicherung keinen unverhältnismäßigen Aufwand verursacht, in diesem Fall werden Ihre Daten gesperrt.
- Betroffenenrechte im Einzelnen
Nach der EU-Datenschutzgrundverordnung stehen Ihnen folgende Rechte zu:
- Werden Ihre personenbezogenen Daten verarbeitet, so haben Sie das Recht Auskunft über die zu Ihrer Person gespeicherten Daten zu erhalten (Art. 15 DSGVO).
- Sollten unrichtige personenbezogene Daten verarbeitet werden, steht Ihnen ein Recht auf Berichtigung zu (Art. 16 DSGVO).
- Liegen die gesetzlichen Voraussetzungen vor, so können Sie die Löschung oder Einschränkung der Verarbeitung verlangen sowie Widerspruch gegen die Verarbeitung einlegen (Art. 17, 18 und 21 DSGVO).
- Die personenbezogenen Daten, die Sie mir bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen (Art. 20 DSGVO).
- Sie haben das Recht, Daten, die ich auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeite, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
- Sie haben gemäß Art. 7 Abs. 3 DSGVO das Recht eine einmal erteilte Einwilligung jederzeit gegenüber mir zu widerrufen. Dies hat zur Folge, dass ich die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen darf.
- Sie haben gemäß Art. 77 DSGVO das Recht, sich bei einer Aufsichtsbehörde zu beschweren. In der Regel können Sie sich hierfür an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes oder des Unternehmenssitzes des Trainers wenden.
Sollten Sie Fragen zur Erhebung, Verarbeitung oder Nutzung Ihrer personenbezogenen Daten haben oder Auskunft, Berichtigung, Sperrung oder Löschung von Daten begehren, wenden Sie sich bitte ebenso wie zum Widerruf erteilter Einwilligungen per Post oder E-Mail an:
Stronhold Gym Ulm Wilhelmsburg
Schons Gym GmbH
Prittwitzstraße 100
89075 Ulm
Stand: 07/2024