Datenschutzrichtlinie
von Home Office Athletics
Günzel & Kuczminski GbR · Koselstr. 14 · 60318 Frankfurt am Main
Stand: Mai 2026
1. Einleitung und Geltungsbereich
Home Office Athletics nimmt den Schutz personenbezogener Daten sehr ernst. Diese Datenschutzrichtlinie informiert Sie gemäß Art. 13 und Art. 14 der Datenschutz-Grundverordnung (DSGVO) darüber, welche personenbezogenen Daten im Rahmen unserer Leistungen erhoben und verarbeitet werden, zu welchen Zwecken dies geschieht, auf welcher Rechtsgrundlage die Verarbeitung erfolgt und welche Rechte Ihnen als betroffene Person zustehen.
Diese Datenschutzrichtlinie gilt für sämtliche Leistungen von Home Office Athletics, insbesondere für: digitale Live-Trainings und -Workshops (Firmenfitness), Präventionskurse gemäß § 20 SGB V, Vorträge und Workshops (digital und vor Ort), Gesundheitstage und Ergonomietage (Präsenzveranstaltungen), therapeutische Sprechstunden, Outdoor-Kurse (Outdoor Workouts und Lauftreffs) sowie Trainingssteuerung und Ernährungsberatung.
2. Verantwortlicher (Art. 4 Nr. 7 DSGVO)
Günzel & Kuczminski GbR (Home Office Athletics)Koselstraße 14, 60318 Frankfurt am MainE-Mail: info@homeoffice-athletics.deTelefon: +49 176 81232846Vertreten durch: Phil Günzel
Datenschutzbeauftragter / Ansprechpartner für Datenschutz:
Phil GünzelE-Mail: phil@homeoffice-athletics.de
3. Art der verarbeiteten Daten
3.1 Firmenfitness, Vorträge und Präsenzveranstaltungen
Im Rahmen der Firmenfitness und der digitalen bzw. präsenten Veranstaltungen können folgende personenbezogene Daten verarbeitet werden:
a) Bestandsdaten: Name des Teilnehmers (sofern im genutzten Tool sichtbar), Name und Kontaktdaten des betrieblichen Ansprechpartners,
b) Nutzungsdaten: Video- und Audiodaten während des Live-Trainings (nicht aufgezeichnet), Kommunikationsinhalte (z. B. Chatnachrichten), Metadaten (Zeitpunkt, Dauer und Teilnahme am Training),
c) Unternehmensbezogene Daten: Unternehmensname, interne Kommunikationsrichtlinien, Abrechnungsdaten,
d) Bei Präsenzveranstaltungen zusätzlich: Teilnehmerlisten, ggf. Gesundheitsscreening-Daten (nur mit ausdrücklicher Einwilligung).
3.2 Präventionskurse (§ 20 SGB V)
a) Name, Vorname, E-Mail-Adresse (Anmeldung über Edudip),
b) Kursbuchungsdaten (Kurstermin, Teilnahmebestätigung),
c) Video- und Audiodaten während der Live-Online-Sitzungen (nicht aufgezeichnet),
d) Kommunikationsinhalte (Chatnachrichten, Wortmeldungen),
e) Metadaten (Datum, Dauer und Teilnahmezeitpunkt der Kurseinheiten),
f) Zahlungsdaten (verarbeitet durch die Plattform Edudip).
3.3 Therapeutische Sprechstunden und Ernährungsberatung
Im Rahmen therapeutischer Sprechstunden und der Ernährungsberatung können zusätzlich gesundheitsbezogene Daten verarbeitet werden (z. B. Angaben zu Beschwerden, Ernährungsgewohnheiten). Diese Daten werden ausschließlich auf Grundlage einer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet.
3.4 Outdoor-Kurse
Im Rahmen der Outdoor-Kurse (Outdoor Workouts und Lauftreffs) können folgende personenbezogene Daten verarbeitet werden:
a) Bestandsdaten: Name, E-Mail-Adresse und/oder Telefonnummer (bei Anmeldung per E-Mail, Telefon oder Messenger),
b) Buchungsdaten: Kurstermin, Kursart, Buchungszeitpunkt, Stornierungen,
c) Zahlungsdaten: Über den Zahlungsdienstleister Stripe verarbeitete Daten (z. B. Zahlungsmethode, Transaktionsdaten). Stripe ist eigenständiger Verantwortlicher für die Zahlungsdatenverarbeitung.
d) Partnerplattform-Daten: Bei Teilnahme über Hansefit die von Hansefit übermittelten Daten (z. B. Name, Mitgliedsstatus).
4. Zwecke der Datenverarbeitung
Die Verarbeitung personenbezogener Daten erfolgt zu folgenden Zwecken:
a) Durchführung und Organisation der digitalen und präsenten Trainings, Kurse, Vorträge und Veranstaltungen,
b) Teilnehmerverwaltung und -kommunikation,
c) Bereitstellung von Trainingseinladungen, -informationen und -unterlagen,
d) Erstellung von Teilnahmebescheinigungen für Krankenkassen (bei Präventionskursen),
e) Erfüllung gesetzlicher Nachweispflichten (insbesondere gegenüber Krankenkassen und Finanzbehörden),
f) Abrechnung und Rechnungsstellung,
g) Qualitätssicherung und Verbesserung des Angebots.
h) Buchung, Organisation und Durchführung von Outdoor-Kursen, einschließlich Teilnehmerkommunikation und Absagebenachrichtigungen.
Eine Verarbeitung zu Werbe- oder Analysezwecken findet nicht statt, es sei denn, der Betroffene hat hierzu eine gesonderte Einwilligung erteilt.
5. Rechtsgrundlagen der Verarbeitung (Art. 6 DSGVO)
Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage folgender Rechtsgrundlagen:
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Die Verarbeitung ist zur Erfüllung des Vertrags über die Erbringung der Trainings- und Kursleistungen erforderlich.
Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung): Die Verarbeitung ist zur Erfüllung gesetzlicher Pflichten erforderlich, insbesondere steuer- und handelsrechtliche Aufbewahrungspflichten (§§ 147 AO, 257 HGB) sowie Nachweispflichten gegenüber Krankenkassen (§ 20 SGB V).
Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse): Die Verarbeitung ist zur Wahrung berechtigter Interessen des Anbieters erforderlich, insbesondere zur Qualitätssicherung und zur technischen Absicherung der Leistungserbringung. Das berechtigte Interesse besteht in der Gewährleistung eines reibungslosen Ablaufs und der Optimierung des Angebots.
Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Soweit Teilnehmende freiwillig zusätzliche Angaben machen, optionale Funktionen nutzen oder gesundheitsbezogene Daten im Rahmen therapeutischer Leistungen mitteilen. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Art. 9 Abs. 2 lit. a DSGVO (Einwilligung in besondere Kategorien): Für die Verarbeitung gesundheitsbezogener Daten im Rahmen therapeutischer Sprechstunden.
Outdoor-Kurse im Besonderen: Die Verarbeitung von Buchungs- und Kontaktdaten bei Outdoor-Kursen erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung). Die Speicherung von Kontaktdaten für Absagebenachrichtigungen (z. B. bei witterungsbedingter Kursabsage per E-Mail oder Messenger) erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an zuverlässiger Teilnehmerkommunikation).
6. Speicherdauer und Löschung
Personenbezogene Daten werden nur so lange gespeichert, wie dies für die jeweiligen Verarbeitungszwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
Vertragsdaten und Rechnungen: 10 Jahre (steuer- und handelsrechtliche Aufbewahrungspflicht gemäß §§ 147 AO, 257 HGB).
Kursunterlagen und Anwesenheitslisten (Präventionskurse): 12 Monate nach Kursende, sofern keine längere Aufbewahrungspflicht besteht.
Geschäftliche Korrespondenz: 6 Jahre (handelsrechtliche Aufbewahrungspflicht gemäß § 257 HGB).
Video- und Audiodaten: Keine Aufzeichnung – ausschließlich während des Live-Trainings verfügbar.
Nachrichten und Metadaten bei Nutzung der Kundenplattform: Gemäß den Richtlinien des jeweiligen Kundenunternehmens.
Gesundheitsbezogene Daten: Unverzüglich nach Zweckerreichung, spätestens 6 Monate nach Ende der therapeutischen Betreuung, sofern keine gesetzliche Aufbewahrungspflicht besteht.
Outdoor-Kurs-Buchungsdaten: Kontaktdaten und Buchungsdaten werden nach Durchführung des Kurses für die Dauer etwaiger steuerrechtlicher Aufbewahrungspflichten gespeichert (Rechnungsdaten 10 Jahre). Kontaktdaten ohne steuerrechtliche Relevanz werden spätestens 3 Monate nach dem Kurstermin gelöscht.
Nach Ablauf der jeweiligen Speicherfristen werden personenbezogene Daten sicher und unwiderruflich gelöscht oder anonymisiert.
7. Empfänger und Weitergabe von Daten
Eine Weitergabe personenbezogener Daten an Dritte erfolgt ausschließlich in folgenden Fällen:
Edudip GmbH (Sitz in Deutschland): Als Auftragsverarbeiter gemäß Art. 28 DSGVO zur technischen Durchführung von Präventionskursen und – sofern vereinbart – von Firmenfitness-Leistungen. Ein Auftragsverarbeitungsvertrag liegt vor.
Drittplattformen des Anbieters (z. B. Zoom): Sofern der Anbieter eine eigene Videocall-Plattform für die Durchführung der Trainings bereitstellt, werden die für die Sitzungsteilnahme erforderlichen Daten (z. B. Anzeigename, IP-Adresse, Audio-/Videodaten) durch den Plattformbetreiber verarbeitet. Es gelten zusätzlich die Datenschutzbestimmungen des jeweiligen Plattformbetreibers. Der Anbieter wählt Plattformanbieter sorgfältig nach Datenschutzstandards aus.
Krankenkassen: Auf ausdrücklichen Wunsch der Teilnehmenden zur Erstattung nach § 20 SGB V.
Steuerberater und Finanzbehörden: Im Rahmen der gesetzlichen Steuer- und Buchführungspflichten.
Kommunikationsplattformen des Kunden: Bei Firmenfitness über die Plattform des Kunden (z. B. Microsoft Teams) fungiert der Kunde als datenschutzrechtlich Verantwortlicher für die Plattform.
Stripe Payments Europe, Ltd.: Als eigenständiger Verantwortlicher für die Zahlungsabwicklung bei Outdoor-Kurs-Buchungen. Stripe verarbeitet Zahlungsdaten auf Grundlage eigener Datenschutzbestimmungen (https://stripe.com/de/privacy).
Partnerplattformen (z. B. Hansefit): Bei Teilnahme über Partnerplattformen werden die für die Teilnahmebestätigung und Abrechnung erforderlichen Daten zwischen dem Anbieter und der Partnerplattform ausgetauscht. Die Partnerplattform ist eigenständiger Verantwortlicher für die bei ihr verarbeiteten Daten.
Darüber hinaus erfolgt eine Weitergabe nur auf Grundlage einer gesetzlichen Verpflichtung oder mit ausdrücklicher Einwilligung.
8. Übermittlung in Drittländer
Eine Übermittlung personenbezogener Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR) findet grundsätzlich nicht statt. Sofern im Einzelfall eine Übermittlung erforderlich sein sollte (z. B. bei Nutzung von Plattformen mit Servern außerhalb der EU), erfolgt diese ausschließlich auf Grundlage eines Angemessenheitsbeschlusses der EU-Kommission (Art. 45 DSGVO), unter Verwendung von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder auf Basis des EU-U.S. Data Privacy Framework.
Der Zahlungsdienstleister Stripe kann als US-amerikanisches Unternehmen personenbezogene Daten in die USA übermitteln. Stripe ist unter dem EU-U.S. Data Privacy Framework zertifiziert.
9. Datensicherheit (Art. 32 DSGVO)
Der Anbieter trifft angemessene technische und organisatorische Maßnahmen, um personenbezogene Daten gegen unbefugten Zugriff, Verlust, Zerstörung oder Manipulation zu schützen. Dies umfasst insbesondere:
a) Verschlüsselte Datenübertragung (TLS/SSL),
b) Zugangsbeschränkungen und Berechtigungskonzepte,
c) Regelmäßige Überprüfung der Sicherheitsmaßnahmen,
d) Sorgfältige Auswahl von Dienstleistern und Auftragsverarbeitern nach Datenschutzstandards.
Die Plattform Edudip ist nach ISO/IEC 27001 zertifiziert; die Daten werden auf Servern innerhalb der EU gespeichert und verschlüsselt übertragen.
10. Besonderheiten bei verschiedenen Leistungsformen
10.1 Firmenfitness über die Plattform des Kunden
Wird die digitale Kommunikationsplattform durch den Kunden bereitgestellt und verwaltet (z. B. Microsoft Teams, Zoom des Kunden), tritt der Trainer von Home Office Athletics ausschließlich als eingeladener Gast auf. Der Anbieter hat keine administrative Kontrolle über die Plattform. Die datenschutzrechtliche Verantwortung für die eingesetzte Plattform und die dort verarbeiteten Daten liegt beim Kunden als Verantwortlichem im Sinne der DSGVO.
10.2 Firmenfitness über eine vom Anbieter bereitgestellte Drittplattform
Stellt der Anbieter eine eigene Videocall-Plattform für die Durchführung der Trainings bereit (z. B. Zoom, Google Meet), ist der Anbieter als Gastgeber der Sitzungen datenschutzrechtlich Verantwortlicher für die über die Plattform erfolgende Datenverarbeitung.
In diesem Fall ist der Kunde vertraglich verpflichtet, die Einwilligung seiner teilnehmenden Mitarbeiter in die Datenverarbeitung im Rahmen der Videocall-Sitzungen einzuholen, bevor diese erstmalig an einem Training teilnehmen. Die Einwilligung umfasst insbesondere die Verarbeitung von Anzeigename, Audio- und Videodaten sowie IP-Adresse durch den Plattformbetreiber und den Anbieter für Zwecke der Trainingsdurchführung. Der Anbieter stellt auf Anfrage eine Muster-Einwilligungserklärung zur Verfügung.
Der Anbieter wählt die eingesetzte Plattform sorgfältig nach Datenschutzstandards aus und stellt sicher, dass die Datenverarbeitung im Einklang mit der DSGVO erfolgt – soweit dies in seinem Einflussbereich liegt. Sofern der Plattformbetreiber Daten in Länder außerhalb des EWR übermittelt, gelten die Bestimmungen gemäß Abschnitt 8 dieser Richtlinie.
10.3 Firmenfitness über Edudip
Wird nach Vereinbarung Edudip als Plattform für Firmenfitness-Leistungen genutzt, gelten dieselben Datenschutzstandards wie für Präventionskurse. Die datenschutzrechtliche Verantwortung für die Plattform liegt in diesem Fall beim Anbieter; Edudip ist als Auftragsverarbeiter gemäß Art. 28 DSGVO eingebunden.
10.4 Präsenzveranstaltungen
Bei Gesundheitstagen, Ergonomietagen und Präsenzworkshops werden ausschließlich die für die Organisation und Durchführung erforderlichen Daten erhoben (insbesondere Teilnehmerlisten). Eine Foto- oder Videodokumentation findet nur mit vorheriger ausdrücklicher Einwilligung der betroffenen Personen statt.
10.5 Outdoor-Kurse
Bei Outdoor-Kursen (Outdoor Workouts und Lauftreffs) werden die für die Buchung, Organisation und Durchführung erforderlichen Daten verarbeitet. Die Anmeldung kann über das Buchungssystem des Anbieters (mit Zahlungsabwicklung durch Stripe), über Partnerplattformen (z. B. Hansefit) oder per E-Mail, Telefon bzw. Messenger erfolgen.
Die übermittelten Kontaktdaten (Name, E-Mail-Adresse und/oder Telefonnummer) werden ausschließlich zum Zweck der Kursorganisation, Teilnehmerkommunikation und ggf. Absagebenachrichtigung verarbeitet. Eine weitergehende Nutzung (z. B. zu Marketingzwecken) erfolgt nicht ohne gesonderte Einwilligung.
Eine Foto- oder Videodokumentation von Outdoor-Kursen findet nur mit vorheriger ausdrücklicher Einwilligung der betroffenen Teilnehmer statt.
11. Rechte der betroffenen Personen
Sie haben gegenüber dem Verantwortlichen folgende Rechte hinsichtlich Ihrer personenbezogenen Daten:
Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über die zu Ihrer Person gespeicherten Daten verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO).
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, dass Ihnen Ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermittelt werden.
Widerspruchsrecht (Art. 21 DSGVO): Sie können der Verarbeitung Ihrer Daten auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO jederzeit widersprechen.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
Zur Ausübung dieser Rechte genügt eine formlose Mitteilung an: info@homeoffice-athletics.de
12. Beschwerderecht bei der Aufsichtsbehörde
Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt.
Zuständige Aufsichtsbehörde:
Der Hessische Beauftragte für Datenschutz und InformationsfreiheitGustav-Stresemann-Ring 1, 65189 WiesbadenTelefon: +49 611 1408-0E-Mail: poststelle@datenschutz.hessen.deWebsite: https://datenschutz.hessen.de
13. Aktualisierung dieser Datenschutzrichtlinie
Diese Datenschutzrichtlinie wird regelmäßig überprüft und bei Bedarf angepasst, insbesondere bei Änderungen gesetzlicher Vorgaben, organisatorischer Prozesse oder technischer Rahmenbedingungen. Die jeweils aktuelle Version wird auf der Website des Anbieters (homeoffice-athletics.de) veröffentlicht.
