Datenschutzerklärung
Version 2026-05-19 · gültig ab dem 19. Mai 2026
§ 1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
BH-Wandex Jarosław Czechowski
ul. Ciołka 8 / 210
01-402 Warszawa, Polen
E-Mail: lukasz.r.czechowski@gmail.com
Telefon: +48 508 510 642
Im Folgenden bezeichnet als „STUDIOVA“, „wir“ oder „Betreiber“.
§ 2. Allgemeine Hinweise zur Datenverarbeitung
2.1 Umfang der Verarbeitung personenbezogener Daten
Wir erheben und verwenden personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Plattform sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt regelmäßig nur nach Einwilligung des Nutzers oder auf Grundlage einer gesetzlichen Erlaubnis.
2.2 Rechtsgrundlagen
- Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (z.B. Newsletter, optionale AI-Funktionen, Marketing-SMS)
- Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Buchung, Zahlungsabwicklung, Konto)
- Art. 6 Abs. 1 lit. c DSGVO — Rechtliche Verpflichtung (Steuerrecht, Buchführung)
- Art. 6 Abs. 1 lit. f DSGVO — Berechtigtes Interesse (Sicherheit, Audit-Log, Anti-Spam)
- Art. 9 Abs. 2 lit. a DSGVO — Ausdrückliche Einwilligung für besondere Kategorien (Body Journal)
§ 3. Kategorien verarbeiteter Daten
3.1 Bestandsdaten
Vorname, Nachname, E-Mail-Adresse, Telefonnummer, Geburtsdatum (optional, für Geburtstags-SMS).
3.2 Buchungsdaten
Gebuchte Kurse / Termine, Zahlungsmethode, Stornierungen, Anwesenheit, No-Show-Tracking.
3.3 Zahlungsdaten
Zahlungsabwicklung erfolgt über externe Anbieter (Stripe, Przelewy24). Wir speichern nur Transaktionsreferenzen und Zahlungsstatus, nicht jedoch vollständige Kreditkarten- oder Kontodaten.
3.4 Kommunikationsdaten
Chat-Nachrichten im Studio-Panel, E-Mail-Kommunikation, SMS-Inhalte.
3.5 Nutzungsdaten
Login-Zeitpunkte, IP-Adresse (gehashed nach 30 Tagen für Anti-Fraud), Geräte-Fingerprint (pseudonymisiert).
3.6 Besondere Kategorien — Body Journal (Art. 9 DSGVO)
STUDIOVA bietet ein optionales Body Journal-Modul an, das Gesundheitsdaten erfassen kann (Gewicht, Körpermaße, Verletzungshistorie, Trainingsziele). Diese Daten werden ausschließlich nach ausdrücklicher Einwilligung der Klientin (Art. 9 Abs. 2 lit. a DSGVO) erfasst und sind nur für sie und das autorisierte Studio-Personal sichtbar. Aufbewahrungsfrist: 10 Jahre nach letzter Aktivität (in Analogie zu medizinischen Aufbewahrungspflichten gemäß § 630f BGB; polnisches Recht analog).
§ 4. Zwecke der Verarbeitung
- Bereitstellung der Plattform-Funktionalitäten (Buchung, Zahlung, Kommunikation, Berichte)
- Erfüllung gesetzlicher Verpflichtungen (Steuerrecht, Rechnungsstellung)
- Verbesserung der Plattform durch anonymisierte Nutzungsanalysen
- Sicherheit der Plattform (Anti-Fraud, Rate-Limiting, Audit-Trail)
- Marketing-Kommunikation nach ausdrücklicher Einwilligung
- AI-gestützte Funktionen (AI Coach, AI Optimizer) nach Opt-In durch das Studio + die Klientin
§ 5. Auftragsverarbeiter und Sub-Auftragsverarbeiter
Zur Erbringung unserer Dienste setzen wir folgende Auftragsverarbeiter (Art. 28 DSGVO) ein. Für alle außereuropäischen Transfers liegen entweder Standardvertragsklauseln (SCCs) gemäß Art. 46 DSGVO oder Angemessenheitsbeschlüsse (Adequacy Decisions) vor:
| Anbieter | Zweck | Standort | Rechtsgrundlage Transfer |
|---|---|---|---|
| Supabase Inc. | Datenbank-Hosting, Authentifizierung, Storage | EU (Frankfurt am Main) | EU-intern, kein Drittlandtransfer |
| Vercel Inc. | Application-Hosting, CDN, Edge-Funktionen | USA + EU-Edge | SCCs + EU-U.S. Data Privacy Framework |
| Stripe Payments Europe Ltd. | Zahlungsabwicklung (EU, internationale Klienten) | Irland | EU-intern |
| Przelewy24 (PayPro S.A.) | Zahlungsabwicklung (PL-Klienten) | Polen | EU-intern |
| Resend Inc. | Transaktionale E-Mails | EU + USA | SCCs + DPF |
| SMSAPI sp. z o.o. | SMS-Versand (PL-Klienten) | Polen | EU-intern |
| seven communications GmbH (seven.io) | SMS-Versand (DACH/EU-Klienten) | Deutschland (Frankfurt am Main, Hetzner) | EU-intern |
| Twilio Inc. | SMS-Versand (US/Global-Klienten) | USA | SCCs + DPF |
| Anthropic PBC | AI Coach, AI Optimizer (Claude API) | USA | SCCs + DPF (Opt-In erforderlich) |
| Upstash Inc. | Rate-Limiting (Redis) | EU | EU-intern |
§ 6. Speicherdauer
- Kontodaten: bis zur Kündigung des Studios; danach 30 Tage Wiederherstellungsfrist, dann Hard-Delete (Art. 17 DSGVO)
- Buchungsdaten: 6 Jahre (steuerrechtliche Aufbewahrungspflicht)
- Rechnungen / Zahlungsbelege: 10 Jahre (§ 14b UStG für DE-relevante Vorgänge)
- Body Journal (Gesundheitsdaten): 10 Jahre nach letzter Aktivität (medizinische Analogie)
- Audit-Log / Sicherheitsereignisse: 12 Monate
- Anonymisierte Nutzungsstatistiken: unbegrenzt (keine Personenbezug)
§ 7. Rechte der Betroffenen (Art. 15–22 DSGVO)
Sie haben gegenüber STUDIOVA folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Auskunftsrecht (Art. 15) — Sie können Auskunft über die von uns verarbeiteten Daten verlangen
- Recht auf Berichtigung (Art. 16) — Sie können unrichtige Daten korrigieren lassen
- Recht auf Löschung (Art. 17) — Sie können die Löschung Ihrer Daten verlangen
- Recht auf Einschränkung der Verarbeitung (Art. 18)
- Recht auf Datenübertragbarkeit (Art. 20) — JSON-Export verfügbar unter Ihrem Konto
- Widerspruchsrecht (Art. 21) — gegen Verarbeitung auf Grundlage Art. 6 Abs. 1 lit. f
- Recht auf Widerruf einer Einwilligung (Art. 7 Abs. 3) — jederzeit ohne Begründung
- Beschwerderecht bei einer Aufsichtsbehörde (Art. 77)
Die Ausübung dieser Rechte erfolgt formlos per E-Mail an lukasz.r.czechowski@gmail.com oder über die Self-Service-Funktionen in Ihrem Konto unter Einstellungen → Datenexport bzw. Einstellungen → Konto löschen.
§ 8. EU AI Act Transparenzpflicht (Art. 50 VO 2024/1689)
STUDIOVA bietet folgende AI-gestützte Funktionen an, die der Transparenzpflicht des EU AI Act unterliegen:
- AI Coach — Chatbot-Antworten an Klientinnen werden klar als „KI-generiert“ gekennzeichnet
- AI Optimizer — Vorschläge zur Stundenplanoptimierung; finale Entscheidung trifft Studio-Admin
- Smart Waitlist — automatische Benachrichtigung bei freien Plätzen (limited-risk gemäß AI Act)
- Business Brain — predictive analytics (Churn, Forecast, Profitability); rein interne Nutzung durch Studio-Admin
Diese Funktionen treffen keine automatisierten Entscheidungen mit rechtlicher Wirkung gemäß Art. 22 DSGVO. Jede klientenrelevante Aktion wird vom Studio-Personal überprüft und freigegeben. Klientinnen können der KI-Nutzung jederzeit widersprechen (Opt-Out im Konto).
§ 9. Cookies
STUDIOVA nutzt ausschließlich technisch notwendige Cookies (Session-Cookie für Login, CSRF-Token, Spracheinstellung). Diese sind gemäß § 25 Abs. 2 Nr. 2 TTDSG nicht einwilligungsbedürftig.
Es werden keine Tracking- oder Marketing-Cookies ohne ausdrückliche Einwilligung gesetzt. Sollte ein Studio externes Tracking (z.B. Meta Pixel, Google Analytics) auf seiner Subdomain einsetzen, ist dieses Studio dafür verantwortlich, ein eigenes Cookie-Banner zu schalten.
§ 10. SSL-/TLS-Verschlüsselung
Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine SSL-/TLS-Verschlüsselung (HTTPS). Eine verschlüsselte Verbindung erkennen Sie an „https://“ in der Adresszeile Ihres Browsers.
§ 11. Beschwerderecht bei einer Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde zu. Zuständig sind:
- Polen (Hauptsitz STUDIOVA): Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl
- Deutschland: Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI), bfdi.bund.de — oder die Landesdatenschutzbehörde Ihres Bundeslandes.
- Österreich: Datenschutzbehörde, dsb.gv.at
- Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), edoeb.admin.ch
§ 12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen umzusetzen. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung. Die Version wird oben angezeigt.