Datenschutzerklärung

1. Verantwortlicher

Verantwortlich im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

Andreas Wagner

Kompetenzzentrum Andreas Wagner

Max-Planck-Str. 7

85716 Unterschleißheim

E-Mail: [email protected]

2. Geltungsbereich und allgemeine Hinweise

Diese Datenschutzerklärung gilt für die Nutzung der mobilen Applikation „YogaAndi“, der Website des Anbieters (deryogaandi.de), der vom Anbieter über Drittplattformen bereitgestellten digitalen Kursinhalte sowie der vom Anbieter betriebenen Routine-App (nachfolgend zusammen „Plattform“).

Personenbezogene Daten werden von uns nur erhoben, wenn du uns diese freiwillig mitteilst oder wenn sie technisch bei der Nutzung der Plattform anfallen. Die Verarbeitung erfolgt stets auf Grundlage einer Rechtsgrundlage der DSGVO – je nach Vorgang auf Basis deiner Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) oder auf Grundlage unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).

App-spezifische Datenverarbeitung (GoHighLevel Client Portal App)

Bei Nutzung der mobilen App werden zusätzlich folgende Informationen erhoben:

– Push-Benachrichtigungen: Die App kann personalisierte Push-Nachrichten versenden, sofern du dies in deinen Geräteeinstellungen erlaubt hast.

– Geräteinformationen: Beim Zugriff werden automatisch technische Informationen deines Endgeräts erfasst (z. B. IP-Adresse, Gerätetyp, Betriebssystem).

– App-Berechtigungen: Je nach genutzter Funktion kann die App Zugriff auf Benachrichtigungen anfordern. Du kannst Berechtigungen jederzeit in deinen Geräteeinstellungen widerrufen.

– In-App-Analyse: Der Hosting-Anbieter GoHighLevel setzt zur Produktverbesserung den Analysedienst Pendo ein. Pendo erfasst anonymisierte Nutzungsdaten innerhalb der App. Pendo ist als Sub-Processor von GoHighLevel tätig.

– Crash- und Fehlerprotokolle: Es kann nicht ausgeschlossen werden, dass die App automatisch Absturz- und Fehlerberichte erfasst und an den Hosting-Anbieter übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, soweit Berechtigungen erteilt werden).

App-Store-Zahlungen: Zahlungen laufen nicht über Apple App Store oder Google Play, sondern ausschließlich über die unter Abschnitt 13 genannten Zahlungsdienstleister.

3. Hosting und Server-Logfiles

GoHighLevel

Die Website und App werden über GoHighLevel (HighLevel Inc., 400 North Saint Paul St., Suite 920, Dallas, TX, USA) gehostet. Beim Aufruf werden automatisch Informationen in Server-Logfiles erfasst:

– IP-Adresse des anfragenden Geräts

– Datum und Uhrzeit des Zugriffs

– Name und URL der abgerufenen Seite

– Referrer-URL (zuvor besuchte Seite)

– Verwendeter Browser und Betriebssystem

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).

Speicherdauer: In der Regel 30 Tage.

Google Cloud Run (Routine-App)

Die Routine-App wird auf Google Cloud Platform (Google Cloud Run, Region us-west1, USA) gehostet. Auch hier fallen beim Seitenaufruf automatisch Server-Logfiles an (IP-Adresse, Zeitstempel, aufgerufene URL, User-Agent). Diese Verbindungsdaten sind technisch strikt von den Inhalten der App getrennt – die Hosting-Infrastruktur hat keinen Zugriff auf die Eingaben des Nutzers, da diese ausschließlich lokal im Browser verarbeitet werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Betriebssicherheit und Fehlersuche).

Drittlandtransfer: Google LLC ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

4. Kontaktaufnahme, Registrierung und Kauf

Wenn du dich auf unserer Plattform registrierst, ein Formular ausfüllst, einen Call buchst oder einen Kauf tätigst, erheben wir je nach Vorgang folgende Daten:

– Vorname, ggf. vollständiger Name

– E-Mail-Adresse

– Geschlecht (falls angegeben)

– Adresse (bei Bestellungen / Verträgen)

– Datum und Uhrzeit der Einwilligung

Rechtsgrundlage: Für die Newsletter-Anmeldung Art. 6 Abs. 1 lit. a DSGVO. Für Buchungen und Vertragsabwicklung Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: Vertragsdaten gemäß gesetzlicher Aufbewahrungsfristen (i. d. R. 6 bzw. 10 Jahre nach HGB/AO).

5. Routine-App: Lokale Datenverarbeitung

Die Routine-App ermöglicht es dir, auf Basis persönlicher Angaben eine individuelle Übungsroutine zu erstellen. Dabei werden folgende Daten abgefragt (siehe auch Anlage 1):

– Zeitbudget: „Wie viel Zeit hast du?“ (30 Sek, 60 Sek, 2 Min, 7 Min)

– Trainingsfokus: „Welcher Bereich soll heute dran sein?“ (Kopf/Kiefer, Augen, Nacken, Schultern, Oberer Rücken/BWS, Brustkorb/Rippen, Unterer Rücken/LWS, Becken/ISG, Hüfte, Oberschenkel vorne, Oberschenkel hinten, Knie, Unterschenkel/Wade, Sprunggelenk/Knöchel, Fuß/Zehen, Bauch/Core/Rumpf, Arme/Ellbogen, Handgelenke/Hände, Ganzkörper, Nervensystem/Entspannung, Lymphfluss, MindSet, Energie, Routine)

– Ort/Position: „Wo bist du?“ (Büro/Stuhl, Stehen, Matte, Liegen)

Die abgefragten Daten beschreiben den gewünschten Trainingsfokus und -kontext. Es werden keine Gesundheitsdaten im Sinne des Art. 9 DSGVO erhoben – die Fragen beziehen sich auf Trainingspräferenzen (Körperregionen, Trainingsabsicht), nicht auf Beschwerden, Diagnosen oder medizinische Zustände.

Technische Umsetzung (Privacy Mode)

Die Routine-App arbeitet im Privacy Mode:

– Sämtliche Eingaben werden ausschließlich lokal in deinem Browser verarbeitet.

– Die Erstellung der personalisierten Routine erfolgt über einen im Browser ausgeführten Algorithmus und eine lokale Übungsdatenbank. Es wird keine Künstliche Intelligenz oder externer API-Dienst eingesetzt.

– Es werden keine Eingaben, Antworten oder Ergebnisse an einen Server übermittelt oder serverseitig gespeichert.

– Es gibt kein Login-System – die Daten sind auf Server-Ebene nicht mit einer identifizierbaren Person verknüpft.

– Die einzigen Daten, die den Browser verlassen, sind die unter Abschnitt 3 beschriebenen Server-Logfiles (IP-Adresse, Zeitstempel, URL). Diese enthalten keine inhaltlichen Eingaben des Nutzers.

Einwilligung vor Nutzung

Vor der Nutzung der Routine-App wird eine ausdrückliche Einwilligung in die lokale Datenverarbeitung eingeholt. Ohne diese Einwilligung kann die Routine-Funktion nicht genutzt werden.

Eingebettete Vimeo-Videos in der Routine-App

Die Routine-App kann Übungsvideos von Vimeo einbetten. Diese werden erst geladen, nachdem der Nutzer im Consent-Mechanismus der App der Datenverarbeitung zugestimmt hat. Ohne Einwilligung werden ausschließlich Text-Anleitungen angezeigt – es wird keine Verbindung zu Vimeo hergestellt. Sobald Videos geladen werden, gelten die Hinweise unter Abschnitt 11 (Vimeo).

Zweck: Personalisierung der Übungsroutine auf Basis individueller Angaben.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung ist freiwillig und kann jederzeit widerrufen werden; da die Daten ausschließlich lokal verarbeitet werden, genügt das Schließen der App bzw. das Löschen des Browser-Caches.

Speicherdauer: Keine serverseitige Speicherung. Lokal im Browser gehaltene Daten werden mit dem Schließen der App bzw. Löschen des Browser-Caches entfernt.

6. Newsletter und E-Mail-Marketing

Wenn du dich für unseren Newsletter anmeldest, verwenden wir deine E-Mail-Adresse, um dir Informationen und Angebote rund um deryogaandi zuzusenden.

Double Opt-In

Die Anmeldung erfolgt im Double-Opt-In-Verfahren. Nach deiner Eintragung erhältst du eine Bestätigungs-E-Mail mit einem Link. Erst nach Klick wirst du in den Verteiler aufgenommen.

Protokollierung

Wir protokollieren den Anmeldeprozess (Datum, Uhrzeit, IP-Adresse, Bestätigungsklick), um die Einwilligung nachweisen zu können.

Kein E-Mail-Tracking

Wir setzen keine Tracking-Pixel und keine individuelle Link-Verfolgung in unseren E-Mails ein. Öffnungsraten und Klickverhalten werden nicht erfasst.

Widerruf

Du kannst deine Einwilligung jederzeit widerrufen, z. B. über den Abmeldelink in jeder E-Mail oder per E-Mail an [email protected].

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Speicherdauer: Bis Widerruf; DOI-Nachweise 3 Jahre nach Abmeldung.

E-Mail-Werbung an Bestandskunden (§ 7 Abs. 3 UWG)

Wenn du bei uns bereits einen Kurs oder ein anderes Angebot gebucht hast, nutzen wir deine E-Mail-Adresse gemäß § 7 Abs. 3 UWG für Informationen über eigene ähnliche Produkte. Du kannst jederzeit widersprechen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG.

7. WhatsApp-Kommunikation

Wir nutzen WhatsApp Business (Meta Platforms Ireland Limited) zur Kundenkommunikation über GoHighLevel. Meta verarbeitet diese Daten als eigenständiger Verantwortlicher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f DSGVO. Drittlandtransfer: Meta ist DPF-zertifiziert.

8. Cookies und Tracking-Technologien

Technisch notwendige Cookies werden auf Basis von Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 TDDDG gesetzt.

Analyse- und Marketing-Cookies (Google Analytics, Meta-Pixel) werden nur mit vorheriger Einwilligung gesetzt (Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 25 Abs. 1 TDDDG). Widerruf jederzeit über das Cookie-Banner.

Ohne Einwilligung werden keine Tracking-, Werbe- oder Analyse-Cookies gesetzt.

9. Google Analytics

Wir nutzen Google Analytics (Google Ireland Limited) mit aktivierter IP-Anonymisierung. Einwilligung über Cookie-Banner.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Drittlandtransfer: DPF-zertifiziert.

Mehr Informationen: https://policies.google.com/privacy

10. Meta-Pixel (Facebook-Pixel)

Wir setzen das Meta-Pixel (Meta Platforms Ireland Limited) ein. Das Pixel wird erst nach aktiver Zustimmung über das Cookie-Banner geladen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Drittlandtransfer: DPF-zertifiziert.

Mehr Informationen: https://www.facebook.com/privacy/policy/

11. Eingebettete Vimeo-Videos

Wir binden Videos und Live-Streams von Vimeo (Vimeo, Inc., 555 West 18th Street, New York, NY, USA) auf unserer Plattform ein.

Einbindung auf der Website und in der App (GoHighLevel)

Die Einbindung erfolgt per iFrame mit aktiviertem Do-Not-Track-Parameter (dnt=1). Dieser Parameter weist Vimeo an, keine Tracking-Cookies zu setzen. Es werden lediglich sicherheitsrelevante Cookies gesetzt (z. B. Cloudflare). Die iFrame-Berechtigungen sind auf fullscreen und picture-in-picture beschränkt. Die Referrer-Policy ist auf „strict-origin-when-cross-origin“ gesetzt.

Beim Aufruf einer Seite mit eingebettetem Video wird eine Verbindung zu den Servern von Vimeo hergestellt, wobei deine IP-Adresse an Vimeo übermittelt wird.

Einbindung in der Routine-App

In der Routine-App werden Vimeo-Videos erst geladen, nachdem der Nutzer im Consent-Mechanismus der App zugestimmt hat. Ohne Einwilligung werden ausschließlich Text-Anleitungen angezeigt; es wird keine Verbindung zu Vimeo hergestellt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) auf der Website/App. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) in der Routine-App.

Drittlandtransfer: Vimeo, Inc. ist unter dem EU-U.S. Data Privacy Framework zertifiziert.

Mehr Informationen: https://vimeo.com/privacy

12. Google Fonts

Unsere Plattform nutzt Google Fonts, die lokal über die DSGVO-konforme Fonts-Option von GoHighLevel eingebunden sind (Self-Hosting). Beim Aufruf wird keine Verbindung zu Google-Servern hergestellt.

13. Zahlungsdienstleister

Stripe

Für die Zahlungsabwicklung nutzen wir Stripe (Stripe, Inc. / Stripe Payments Europe, Ltd., Dublin). Zahlungsdaten

werden direkt an Stripe übermittelt. Stripe verarbeitet Transaktionsdaten auch zu eigenen Zwecken

(Betrugserkennung) und gibt Daten an Banken und Kartennetzwerke weiter. Stripe handelt insoweit als eigenständiger Verantwortlicher bzw. in geteilter Verantwortlichkeit.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Drittlandtransfer: DPF-zertifiziert.

PayPal

Alternativ bieten wir PayPal (PayPal (Europe) S.à r.l. et Cie, Luxemburg) an. PayPal verarbeitet deine Daten als eigenständiger Verantwortlicher.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Mehr Informationen: https://www.paypal.com/de/webapps/mpp/ua/privacy-full

14. Empfänger und Dienstleister

Zur Erbringung unserer Leistungen setzen wir folgende Dienstleister ein:

Dienstleister

Zweck

Sitz / Transfer

Rolle

GoHighLevel (HighLevel Inc.)

Hosting, CRM, E-Mail, Formulare, App

USA – DPF + SCC

Auftragsverarbeiter (AVV/DPA abgeschlossen)

GHL Sub-Processors

Diverse (s. GHL DPA)

Diverse

Mailgun/Sinch (E-Mail), Twilio (SMS/Voice), Pendo (Analytics), Google Cloud/AWS (Infra). Liste im GHL DPA.

Google Cloud Platform

Hosting Routine-App

USA – DPF

Auftragsverarbeiter (nur Verbindungsdaten)

Google Ireland Ltd. / Google LLC

Google Analytics

IE / USA – DPF

Auftragsverarbeiter

Meta Platforms Ireland Ltd.

Meta-Pixel, WhatsApp Business

IE / USA – DPF

Gem. Verantwortlichkeit (Pixel); eigenst. Verantw. (WhatsApp)

Vimeo, Inc.

Video-Einbettung

USA – DPF

Eigene Verantwortlichkeit (dnt=1 aktiviert)

Stripe, Inc. / Stripe Payments Europe

Zahlungsabwicklung

USA / IE – DPF

Eigenst. / geteilte Verantwortlichkeit

PayPal (Europe) S.à r.l.

Zahlungsabwicklung

Luxemburg

Eigenständiger Verantwortlicher

n8n GmbH

Workflow-Automatisierung

Berlin, DE

Auftragsverarbeiter (DPA abgeschlossen)

15. Datenübermittlung in Drittländer

Einige Dienstleister haben ihren Sitz in den USA. Für die Übermittlung personenbezogener Daten stützen wir uns auf den Angemessenheitsbeschluss der EU-Kommission zum EU-U.S. Data Privacy Framework (DPF) vom Juli 2023. Die DPF-Zertifizierung der einzelnen Anbieter ist in der Empfängertabelle (§ 14) ausgewiesen.

Zertifizierungsstatus prüfen: https://www.dataprivacyframework.gov

Mit GoHighLevel sind im Rahmen des DPA zusätzlich Standardvertragsklauseln (SCCs) nach Art. 46 Abs. 2 lit. c DSGVO vereinbart. Für die übrigen US-Anbieter (Google, Meta, Vimeo, Stripe) stützt sich der Transfer auf deren aktive DPF-Zertifizierung.

16. Speicherdauern

Wir speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen.

Datenkategorie

Speicherdauer / Kriterien

Server-Logfiles (GHL + Cloud Run)

30 Tage

Vertragsdaten (Kurs, Zugang)

Vertragsdauer zzgl. 6 bzw. 10 Jahre (HGB/AO)

Newsletter-Daten

Bis Widerruf; DOI-Nachweise 3 Jahre nach Abmeldung

Routine-App (Eingaben)

Keine serverseitige Speicherung; lokal bis Browser-Cache gelöscht

Leads ohne Kauf

12 Monate nach letzter Aktivität

Supportanfragen

6 Monate nach Abschluss des Anliegens

Community-Beiträge

Bis Löschung durch Nutzer oder Kontolöschung

Consent-Nachweise

3 Jahre ab Erteilung

Abgebrochene Checkouts

30 Tage

Terminbuchungen / Calls

Vertragsdauer zzgl. gesetzl. Aufbewahrungsfristen

WhatsApp-Nachrichten

12 Monate nach letzter Kommunikation

17. Deine Rechte als betroffene Person

Auskunftsrecht (Art. 15 DSGVO) – Berichtigung (Art. 16) – Löschung (Art. 17) – Einschränkung (Art. 18) – Datenübertragbarkeit (Art. 20) – Widerruf (Art. 7 Abs. 3) – Beschwerde (Art. 77, zuständig: BayLDA, Promenade 18, 91522 Ansbach).

18. Widerspruchsrecht (Art. 21 DSGVO)

Soweit wir deine Daten auf Basis berechtigter Interessen verarbeiten, hast du jederzeit das Recht, Widerspruch einzulegen. Gegen Direktwerbung kannst du jederzeit ohne Angabe von Gründen widersprechen. Kontakt: [email protected]

19. Datensicherheit

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten gegen Verlust, Zerstörung, Zugriff, Veränderung oder Verbreitung durch unbefugte Personen zu schützen.

20. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung bei Bedarf anzupassen. Die jeweils aktuelle Version findest du auf unserer Plattform.