Datenschutzerklärung

Stand: Mai 2026

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung auf dieser Plattform ist:

Lom-Ali Imadaev

Kreuzstraße 1

82276 Adelshofen

oss@osss.pro

Die technische Plattform (Osss) wird ebenfalls durch oben genannte Person bereitgestellt. Gym-Betreiber, die Osss zur Mitgliederverwaltung nutzen, sind jeweils eigenständige Verantwortliche für die Daten ihrer Mitglieder.

2. Welche Daten werden verarbeitet?

  • Name, E-Mail-Adresse, Telefonnummer und Adresse der Mitglieder
  • Geburtsdatum und weitere freiwillige Angaben
  • Mitgliedschaftsstatus, Gürtelgrad und Anwesenheitsdaten
  • Digitale Einwilligung und Vertragsbestätigung (IP-Adresse, Zeitstempel, Vertragstext)
  • Zahlungsinformationen (verarbeitet über Stripe — keine Kartendaten werden bei uns gespeichert)

3. Zweck der Verarbeitung

Die Daten werden ausschließlich zur Verwaltung der Mitgliedschaften, zur Abwicklung von Beitragszahlungen und zur Dokumentation von Anwesenheiten und Graduierungen im Rahmen der Gym-Verwaltung verarbeitet.

4. Rechtsgrundlagen (DSGVO)

  • Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Mitgliedschaft, Zahlungsabwicklung)
  • Art. 6 Abs. 1 lit. a DSGVO — Einwilligung (digitale Zustimmung beim Anmeldeprozess)
  • Art. 6 Abs. 1 lit. f DSGVO — berechtigte Interessen (Anwesenheitsdokumentation)

5. Auftragsverarbeiter / Drittanbieter

Supabase Inc.

Datenbank, Authentifizierung, Storage. Datenstandort: London (Vereinigtes Königreich, eu-west-2). Vertragspartner: Supabase Inc., USA. Schutzmaßnahme: EU-Angemessenheitsbeschluss 2021/1772 für UK (gültig bis 27.06.2031) sowie EU-Standardvertragsklauseln für die US-Vertragsbeziehung. supabase.com/privacy

Stripe Inc.

Zahlungsabwicklung (USA, EU-Standardvertragsklauseln, PCI-DSS-zertifiziert). stripe.com/de/privacy

Vercel Inc.

Hosting der Webanwendung (USA, EU-Standardvertragsklauseln). vercel.com/legal/privacy-policy

Resend Inc.

E-Mail-Versand (USA, EU-Standardvertragsklauseln). resend.com/privacy

Functional Software, Inc. (Sentry)

Anonymes Fehler-Tracking zur Stabilität der Anwendung (USA, EU-Standardvertragsklauseln). Keine Session-Replays, keine PII (E-Mail, IP-Adresse) werden übertragen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). sentry.io/privacy/

Upstash, Inc.

Rate-Limiting (verteiltes Redis) zum Schutz vor Brute-Force-Angriffen. Es werden ausschließlich IP-Adressen kurzzeitig (max. 60 Sekunden) gespeichert (USA, EU-Standardvertragsklauseln). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (IT-Sicherheit). upstash.com/trust/privacy.pdf

Google LLC

Ausschließlich für die interne Akquise von Gym-Inhabern (Sales-CRM): Abruf öffentlich verfügbarer Geschäftsdaten via Google Places API. Mitgliederdaten der Gyms werden NICHT an Google übertragen (USA, EU-Standardvertragsklauseln + DPF). policies.google.com/privacy

6. Speicherdauer

Personenbezogene Daten werden gelöscht, sobald sie für den Zweck der Verarbeitung nicht mehr benötigt werden oder der Betroffene die Löschung verlangt, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z.B. 10 Jahre für Buchhaltungsunterlagen nach §257 HGB).

7. Betroffenenrechte

Gemäß DSGVO stehen dir folgende Rechte zu:

  • Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17)
  • Einschränkung der Verarbeitung (Art. 18)
  • Datenübertragbarkeit (Art. 20)
  • Widerspruch (Art. 21)
  • Beschwerde bei der zuständigen Datenschutzbehörde

Anfragen richte bitte an: oss@osss.pro

8. Newsletter

Wenn du dich für unseren Newsletter anmeldest, verwenden wir das Double-Opt-In-Verfahren: Nach Eintrag deiner E-Mail-Adresse erhältst du eine Bestätigungs-Mail mit einem Link. Erst nach Klick auf diesen Link wird deine Adresse dauerhaft gespeichert.

Erfasste Daten: E-Mail-Adresse, IP-Adresse, User-Agent und Zeitstempel der Anmeldung (zur Beweissicherung nach § 7 UWG / Art. 7 DSGVO). Quelle der Anmeldung (z.B. „Blog-Footer", „Ressourcen-Hub") wird zur internen Funnel-Analyse gespeichert.

Versand-Dienst: Resend Inc. (siehe §5). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, jederzeit widerrufbar). Die Einwilligung gilt nicht erteilt, wenn die DOI-Bestätigung ausbleibt.

Abmeldung: 1-Klick-Link in jeder Newsletter-Mail (RFC 8058 List-Unsubscribe). Nach Abmeldung wird der Eintrag auf unsubscribed gesetzt — die E-Mail-Adresse selbst bleibt für 30 Tage als Sperre gespeichert (Art. 21 DSGVO), danach werden alle Daten gelöscht.

9. Cookies und Tracking

Diese Anwendung verwendet ausschließlich technisch notwendige Session-Cookies zur Authentifizierung. Es werden keine Marketing-, Werbe- oder Analyse-Cookies eingesetzt.

Zur anonymen Reichweiten-Messung führen wir eine eigene, cookielose Statistik auf unserer Datenbank (Supabase, siehe §5). Erfasst werden nur: aufgerufene URL, Referrer-Domain, Geräte-Typ (Mobile/Desktop), Browser-Kategorie und Land (aus Server-Headern, ohne IP-Speicherung). Personenbezogene Daten werden NICHT gespeichert. Statt einer IP-Adresse verwenden wir Kurz-Hashes mit täglich rotierenden Salts, sodass kein Personenbezug rekonstruierbar ist (anonym im Sinne von Erwägungsgrund 26 DSGVO). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Reichweiten-Statistik). Da keine Cookies oder Endgerät-Speicher verwendet werden, ist diese Messung nach TTDSG § 25 Abs. 2 Nr. 2 ohne Einwilligung zulässig.

Zur Stabilität der Anwendung wird Sentry eingesetzt — ausschließlich zur Erfassung anonymer Fehler-Reports (JavaScript-Exceptions, Stack-Traces). Es werden keine Session-Replays aufgezeichnet, keine IP-Adresse, E-Mail oder andere personenbezogenen Daten übertragen. Sentry verwendet hierfür keine Cookies. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer stabilen Anwendung).

ImpressumStartseite