Datenschutzrichtlinie

von Home Office Athletics

Günzel & Kuczminski GbR · Koselstr. 14 · 60318 Frankfurt am Main

Stand: März 2026

1. Einleitung und Geltungsbereich

Home Office Athletics nimmt den Schutz personenbezogener Daten sehr ernst. Diese Datenschutzrichtlinie informiert Sie gemäß Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten im Rahmen unserer Leistungen erhoben und verarbeitet werden, zu welchen Zwecken dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und welche Rechte Ihnen als betroffene Person zustehen.

Diese Datenschutzrichtlinie gilt für sämtliche Leistungen von Home Office Athletics, insbesondere für: digitale Live-Trainings und -Workshops (Firmenfitness), Präventionskurse gemäß § 20 SGB V, Vorträge und Workshops (digital und vor Ort), Gesundheitstage und Ergonomietage (Präsenzveranstaltungen), therapeutische Sprechstunden sowie Trainingssteuerung und Ernährungsberatung.

2. Verantwortlicher (Art. 4 Nr. 7 DSGVO)

Günzel & Kuczminski GbR (Home Office Athletics) Koselstraße 14, 60318 Frankfurt am Main E-Mail: info@homeoffice-athletics.de Telefon: +49 176 81232846 Vertreten durch: Phil Günzel

Datenschutzbeauftragter / Ansprechpartner für Datenschutz:

Phil Günzel E-Mail: phil@homeoffice-athletics.de

3. Art der verarbeiteten Daten

3.1 Firmenfitness, Vorträge und Präsenzveranstaltungen

Im Rahmen der Firmenfitness und der digitalen bzw. präsenten Veranstaltungen können folgende personenbezogene Daten verarbeitet werden:

a) Bestandsdaten: Name des Teilnehmers (sofern im genutzten Tool sichtbar), Name und Kontaktdaten des betrieblichen Ansprechpartners,

b) Nutzungsdaten: Video- und Audiodaten während des Live-Trainings (nicht aufgezeichnet), Kommunikationsinhalte (z. B. Chatnachrichten), Metadaten (Zeitpunkt, Dauer und Teilnahme am Training),

c) Unternehmensbezogene Daten: Unternehmensname, interne Kommunikationsrichtlinien, Abrechnungsdaten,

d) Bei Präsenzveranstaltungen zusätzlich: Teilnehmerlisten, ggf. Gesundheitsscreening-Daten (nur mit ausdrücklicher Einwilligung).

3.2 Präventionskurse (§ 20 SGB V)

a) Name, Vorname, E-Mail-Adresse, Adresse (Anmeldung über Edudip),

b) Kursbuchungsdaten (Kurstermin, Teilnahmebestätigung),

c) Video- und Audiodaten während der Live-Online-Sitzungen (nicht aufgezeichnet),

d) Kommunikationsinhalte (Chatnachrichten, Wortmeldungen),

e) Metadaten (Datum, Dauer und Teilnahmezeitpunkt der Kurseinheiten),

f) Zahlungsdaten (verarbeitet durch die Plattform Edudip).

3.3 Therapeutische Sprechstunden und Ernährungsberatung

Im Rahmen therapeutischer Sprechstunden und der Ernährungsberatung können zusätzlich gesundheitsbezogene Daten verarbeitet werden (z. B. Angaben zu Beschwerden, Ernährungsgewohnheiten). Diese Daten werden ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet.

4. Zwecke der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken:

a) Durchführung und Organisation der digitalen und präsenten Trainings, Kurse, Vorträge und Veranstaltungen,

b) Teilnehmerverwaltung und -kommunikation,

c) Bereitstellung von Trainingseinladungen, -informationen und -unterlagen,

d) Erstellung von Teilnahmebescheinigungen für Krankenkassen (bei Präventionskursen),

e) Erfüllung gesetzlicher Nachweispflichten (insbesondere gegenüber Krankenkassen und Finanzbehörden),

f) Abrechnung und Rechnungsstellung,

g) Qualitätssicherung und Verbesserung des Angebots.

Eine Verarbeitung zu Werbe- oder Analysezwecken findet nicht statt, es sei denn, der Betroffene hat hierzu eine gesonderte Einwilligung erteilt.

5. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:

Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist zur Erfüllung des Vertrags über die Erbringung der Trainings- und Kursleistungen erforderlich.

Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung gesetzlicher Pflichten erforderlich, insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten (§§ 147 AO, 257 HGB) sowie Nachweispflichten gegenüber Krankenkassen (§ 20 SGB V).

Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Anbieters erforderlich, insbesondere zur Qualitätssicherung und zur technischen Absicherung der Leistungserbringung. Das berechtigte Interesse besteht in der Gewährleistung eines reibungslosen Ablaufs und der Optimierung des Angebots.

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Teilnehmende freiwillig zusätzliche Angaben machen, optionale Funktionen nutzen oder gesundheitsbezogene Daten im Rahmen therapeutischer Leistungen mitteilen. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Art. 9 Abs. 2 lit. a DSGVO (Einwilligung in besondere Kategorien): Für die Verarbeitung gesundheitsbezogener Daten im Rahmen therapeutischer Sprechstunden.

6. Speicherdauer und Löschung

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:

Vertragsdaten und Rechnungen: 10 Jahre (steuer- und handelsrechtliche Aufbewahrungspflicht gemäß §§ 147 AO, 257 HGB).

Kursunterlagen und Anwesenheitslisten (Präventionskurse): 12 Monate nach Kursende, sofern keine längere Aufbewahrungspflicht besteht.

Geschäftliche Korrespondenz: 6 Jahre (handelsrechtliche Aufbewahrungspflicht gemäß § 257 HGB).

Video- und Audiodaten: Keine Aufzeichnung – ausschließlich während des Live-Trainings verfügbar.

Nachrichten und Metadaten bei Nutzung der Kundenplattform: Gemäß den Richtlinien des jeweiligen Kundenunternehmens.

Gesundheitsbezogene Daten: Unverzüglich nach Zweckerreichung, spätestens 6 Monate nach Ende der therapeutischen Betreuung, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Nach Ablauf der jeweiligen Speicherfristen werden personenbezogene Daten sicher und unwiderruflich gelöscht oder anonymisiert.

7. Empfänger und Weitergabe von Daten

Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich in folgenden Fällen:

Edudip GmbH (Sitz in Deutschland): Als Auftragsverarbeiter gemäß Art. 28 DSGVO zur technischen Durchführung von Präventionskursen und – sofern vereinbart – von Firmenfitness-Leistungen. Ein Auftragsverarbeitungsvertrag liegt vor.

Krankenkassen: Auf ausdrücklichen Wunsch der Teilnehmenden zur Erstattung nach § 20 SGB V.

Steuerberater und Finanzbehörden: Im Rahmen der gesetzlichen Steuer- und Buchführungspflichten.

Kommunikationsplattformen des Kunden: Bei Firmenfitness über die Plattform des Kunden (z. B. Microsoft Teams, Zoom) fungiert der Kunde als datenschutzrechtlich Verantwortlicher für die Plattform.

Darüber hinaus erfolgt eine Weitergabe nur auf Grundlage einer gesetzlichen Verpflichtung oder mit ausdrücklicher Einwilligung.

8. Übermittlung in Drittländer

Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) findet grundsätzlich nicht statt. Sofern im Einzelfall eine Übermittlung erforderlich sein sollte (z. B. bei Nutzung bestimmter Kommunikationstools des Kunden), erfolgt diese ausschließlich auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO) oder unter Verwendung von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO).

9. Datensicherheit (Art. 32 DSGVO)

Der Anbieter trifft angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten gegen unbefugten Zugriff, Verlust, Zerstörung oder Manipulation zu schützen. Dies umfasst insbesondere:

a) Verschlüsselte Datenübertragung (TLS/SSL),

b) Zugangsbeschränkungen und Berechtigungskonzepte,

c) Regelmäßige Überprüfung der Sicherheitsmaßnahmen,

d) Sorgfältige Auswahl von Dienstleistern und Auftragsverarbeitern nach Datenschutzstandards.

Die Plattform Edudip ist nach ISO/IEC 27001 zertifiziert; die Daten werden auf Servern innerhalb der EU gespeichert und verschlüsselt übertragen.

10. Besonderheiten bei verschiedenen Leistungsformen

10.1 Firmenfitness über die Plattform des Kunden

Wird die digitale Kommunikationsplattform durch den Kunden bereitgestellt und verwaltet, tritt der Trainer von Home Office Athletics ausschließlich als eingeladener Gast auf. Der Anbieter hat keine administrative Kontrolle über die Plattform. Die datenschutzrechtliche Verantwortung für die eingesetzte Plattform und die dort verarbeiteten Daten liegt beim Kunden als Verantwortlichem im Sinne der DSGVO.

10.2 Firmenfitness über Edudip

Wird nach Vereinbarung Edudip als Plattform für Firmenfitness-Leistungen genutzt, gelten dieselben Datenschutzstandards wie für Präventionskurse. Die datenschutzrechtliche Verantwortung für die Plattform liegt in diesem Fall beim Anbieter; Edudip ist als Auftragsverarbeiter gemäß Art. 28 DSGVO eingebunden.

10.3 Präsenzveranstaltungen

Bei Gesundheitstagen, Ergonomietagen und Präsenzworkshops werden ausschließlich die für die Organisation und Durchführung erforderlichen Daten erhoben (insbesondere Teilnehmerlisten). Eine Foto- oder Videodokumentation findet nur mit vorheriger ausdrücklicher Einwilligung der betroffenen Personen statt.

11. Rechte der betroffenen Personen

Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:

Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.

Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.

Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).

Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden.

Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.

Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an: info@homeoffice-athletics.de

12. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.

Zuständige Aufsichtsbehörde:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit Gustav-Stresemann-Ring 1, 65189 Wiesbaden Telefon: +49 611 1408-0 E-Mail: poststelle@datenschutz.hessen.de Website: https://datenschutz.hessen.de

13. Aktualisierung dieser Datenschutzrichtlinie

Diese Datenschutzrichtlinie wird regelmäßig überprüft und bei Bedarf angepasst, insbesondere bei Änderungen gesetzlicher Vorgaben, organisatorischer Prozesse oder technischer Rahmenbedingungen. Die jeweils aktuelle Version wird auf der Website des Anbieters (homeoffice-athletics.de) veröffentlicht.