Datenschutzerklärung

Diese Datenschutzerklärung informiert Sie darüber, wie wir Ihre personenbezogenen Daten erheben, verwenden und schützen, wenn Sie unsere Pilates-Plattform nutzen. Verantwortlich für die Datenverarbeitung sind die im Impressum genannten Personen und Stellen.

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der Datenschutz-Grundverordnung (DSGVO) sowie geltender deutscher Datenschutzgesetze. Alle Daten werden standardmäßig in der Europäischen Union verarbeitet; die wenigen Ausnahmen — insbesondere Übermittlungen an unsere KI-Dienstleister in den USA — sind in Abschnitt 5 vollständig dokumentiert.

Sie haben jederzeit das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch — siehe Abschnitt 6. Einen maschinenlesbaren Export Ihrer gespeicherten Daten können Sie jederzeit in Ihren Kontoeinstellungen anfordern.

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO sind die im Impressum genannten Personen. Sie erreichen uns unter den dort angegebenen Kontaktdaten.

Ein Datenschutzbeauftragter wurde nicht bestellt, da die gesetzlichen Voraussetzungen nach § 38 BDSG (mindestens 20 ständig mit der automatisierten Verarbeitung beschäftigte Personen) nicht vorliegen. Datenschutzanfragen richten Sie bitte an die im Impressum angegebene E-Mail-Adresse.

Die Verarbeitung Ihrer Kontodaten, Trainingsinhalte und aller zur Bereitstellung der Plattform erforderlichen Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO zur Erfüllung unseres Nutzungsvertrags mit Ihnen.

Technische Schutzmaßnahmen wie IP-basierte Ratenbegrenzung, Betrugserkennung und Sicherheits-Logs stützen wir auf Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse ist der sichere und missbrauchsfreie Betrieb der Plattform.

Optionale Verarbeitungen — insbesondere Produkt-Analytics und Marketing-E-Mails — erfolgen ausschließlich nach Art. 6 Abs. 1 lit. a DSGVO auf Basis Ihrer vorherigen, freiwilligen und jederzeit widerrufbaren Einwilligung. Sie können Ihre Einwilligungen in Ihren Kontoeinstellungen verwalten.

Soweit wir gesetzlich zur Aufbewahrung verpflichtet sind — etwa für steuer- und handelsrechtliche Unterlagen — ist die Rechtsgrundlage Art. 6 Abs. 1 lit. c DSGVO.

Kontodaten: E-Mail-Adresse, verschlüsseltes Passwort (verwaltet durch unseren Auth-Dienstleister Supabase), Registrierungs- und letzter Anmeldezeitpunkt sowie ein von Ihnen gewählter Anzeigename.

Profildaten: Sprachpräferenz, Vor- und Nachname (optional), Rolle innerhalb Ihres Studios sowie Trainings-Präferenzen wie bevorzugte Modalitäten, Schwierigkeitsgrade und Unterrichtsstil.

Trainingsinhalte: von Ihnen erstellte Klassenpläne, Vorlagen, persönliche Übungshinweise (Personal Cues), Favoriten und Bewertungen. Persönliche Übungshinweise sind als vertraulich eingestuft und werden zu keinem Zeitpunkt an KI-Dienstleister übermittelt — siehe Abschnitt 4.

Kalenderdaten: Ihre Termine, Unterrichtszeiten, optionale Notizen sowie Verknüpfungen zu Klassenplänen. Privat markierte Termine sind ausschließlich für Sie selbst sowie gegebenenfalls für autorisierte Studio-Verantwortliche sichtbar.

Workflow- und Audit-Daten: Review-Entscheidungen, Planübergaben zwischen Trainerinnen und Trainern sowie Unterrichtsprotokolle. Diese Daten sind erforderlich, um Freigabe- und Übergabeprozesse in Ihrem Studio nachvollziehen zu können.

DSGVO-Nachweise: erteilte Einwilligungen, Löschanträge und zugehörige Zeitstempel. Diese Verarbeitung ist zur Erfüllung unserer Rechenschaftspflicht nach Art. 5 Abs. 2 DSGVO zwingend erforderlich.

Technische Zugriffsdaten: Bei jeder Anfrage protokollieren unsere Auftragsverarbeiter vorübergehend IP-Adresse, User-Agent und Zeitstempel zur Sicherheitsüberwachung und Ratenbegrenzung. Diese Daten werden nach spätestens 30 Tagen automatisch gelöscht; eine Profilbildung anhand dieser Daten findet nicht statt.

Für den Betrieb der Plattform setzen wir sorgfältig ausgewählte Auftragsverarbeiter ein. Mit jedem dieser Dienstleister haben wir einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen.

Supabase (Supabase Inc., 970 Toa Payoh North, Singapur) — Datenbank, Authentifizierung und Datei-Speicher. Die von uns genutzte Instanz ist ausschließlich in der Region eu-central-1 (Frankfurt) gehostet; eine Replikation außerhalb der Europäischen Union findet nicht statt.

Anthropic PBC, 548 Market Street, San Francisco, CA 94104, USA — KI-gestützte Plangenerierung (Claude-Sprachmodelle). Wir nutzen Anthropic mit vertraglich vereinbartem Trainingsausschluss: Ihre Eingaben werden nicht zur Modellverbesserung herangezogen.

OpenAI, L.L.C., 3180 18th Street, San Francisco, CA 94110, USA — Berechnung von Embeddings zur Strukturierung unserer Übungsbibliothek. An OpenAI werden ausschließlich Übungsbeschreibungen aus der Plattform-Bibliothek übermittelt, keine personenbezogenen Daten.

Upstash, Inc. — Redis-basierte Ratenbegrenzung und Hintergrundjobs. Die von uns genutzte Instanz ist in der EU-Region gehostet.

Resend (Resend Inc.) — Versand transaktionaler E-Mails (z. B. Registrierungsbestätigungen, Review-Benachrichtigungen). Übermittelte Daten werden ausschließlich für die Zustellung der jeweiligen E-Mail verarbeitet.

Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA — Hosting und Content Delivery. Wir bevorzugen EU-Edge-Regionen; Zugriffs-Logs werden spätestens nach 30 Tagen automatisch gelöscht.

Wichtiger Hinweis zu persönlichen Übungshinweisen: Die in Ihrem Konto gespeicherten persönlichen Hinweise (Personal Cues) werden zu keinem Zeitpunkt an Anthropic, OpenAI oder andere KI-Dienstleister übermittelt. Sie werden ausschließlich serverseitig und erst nach Abschluss der Plangenerierung in das Endergebnis eingefügt — eine Eigenschaft, die dauerhaft in unserer technischen Architektur verankert ist.

Der Großteil unserer Datenverarbeitung erfolgt innerhalb der Europäischen Union. Übermittlungen in Drittländer beschränken sich auf die in Abschnitt 4 genannten Dienstleister mit Sitz in den USA (Anthropic, OpenAI, Vercel).

Als Rechtsgrundlage für diese Übermittlungen dienen die von der Europäischen Kommission erlassenen Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie — soweit verfügbar — die Zertifizierung nach dem EU-US Data Privacy Framework gemäß Art. 45 DSGVO. Eine Kopie der jeweils getroffenen Schutzmaßnahmen stellen wir Ihnen auf Anfrage zur Verfügung.

Darüber hinaus finden keine Datenübermittlungen in Drittländer statt. Insbesondere setzen wir keine Werbenetzwerke, keine externen Analyse-Dienste und keine Social-Media-Plugins ein, die personenbezogene Daten in Drittländer übermitteln würden.

Recht auf Auskunft (Art. 15 DSGVO): Sie haben jederzeit das Recht, eine vollständige Kopie Ihrer bei uns gespeicherten personenbezogenen Daten zu erhalten. Einen maschinenlesbaren Export im JSON-Format können Sie unmittelbar in Ihren Kontoeinstellungen auslösen.

Recht auf Berichtigung (Art. 16 DSGVO): Sie können Ihre Profildaten, Präferenzen und Kontoinformationen jederzeit direkt in den Einstellungen anpassen oder uns anderenfalls kontaktieren.

Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihres Kontos direkt in den Einstellungen beantragen. Der Löschantrag wird nach einer 30-tägigen Widerrufsfrist automatisch ausgeführt. Dabei werden personenbezogene Daten vollständig entfernt; in gemeinschaftlich genutzten Freigabe- und Review-Einträgen wird lediglich der Bezug zu Ihrer Person anonymisiert, soweit deren Aufbewahrung zur Nachvollziehbarkeit betrieblicher Abläufe geboten ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können verlangen, dass wir die Verarbeitung Ihrer Daten einschränken, während strittige Sachverhalte geklärt werden.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie erhalten Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format (JSON) über den oben genannten Kontoexport.

Recht auf Widerspruch (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten jederzeit widersprechen, soweit wir diese auf Art. 6 Abs. 1 lit. f DSGVO stützen.

Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO): Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Die bis zum Widerruf erfolgte Verarbeitung bleibt rechtmäßig.

Beschwerderecht (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren — in Deutschland beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) oder bei der für Ihren Wohnort zuständigen Landesdatenschutzbehörde.

Die Plattform ermöglicht Pilates-Trainerinnen und Trainern, Profile ihrer Privatkundinnen und -kunden zu pflegen. Dabei werden folgende Datenkategorien verarbeitet: Name, Kontaktdaten (E-Mail, Telefon), Geburtsdatum sowie optionale Notizen zur Person.

Gesundheitsbezogene Informationen — insbesondere Körperbereiche mit Beschwerden, Schweregrad von Verletzungen oder Einschränkungen, gesundheitliche Zustände und Beobachtungen — fallen nach Art. 9 DSGVO als besondere Kategorien personenbezogener Daten unter verschärfte Schutzanforderungen. Diese Daten werden auf Grundlage der ausdrücklichen Einwilligung der Trainerin bzw. des Trainers (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet, die vor der erstmaligen Erfassung von Gesundheitsnotizen eingeholt wird.

Gesundheitsbezogene Klientendaten werden zu keinem Zeitpunkt an KI-Dienstleister (insbesondere Anthropic oder OpenAI) übermittelt. Die KI-gestützte Plangenerierung verwendet ausschließlich anonymisierte, strukturierte Kategorien (z. B. Körperbereich, Schweregrad) — ohne Namen, Geburtsdaten oder sonstige personenbezogene Identifikatoren. Diese Trennung ist dauerhaft in der Systemarchitektur verankert.

Die Trainerin bzw. der Trainer ist datenschutzrechtlich Verantwortliche bzw. Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO für die Daten ihrer bzw. seiner Klientinnen und Klienten. My Pilates Flows verarbeitet diese Daten im Auftrag der Trainerin bzw. des Trainers als Auftragsverarbeiterin gemäß Art. 28 DSGVO. Ein Auftragsverarbeitungsvertrag steht auf Anfrage zur Verfügung.