Datenschutz­erklärung

Verantwortlicher im Sinne des Art. 4 Nr. 7 DSGVO ist:

Wir haben aufgrund der Größe unseres Unternehmens und der Art der Verarbeitungen keine:n Datenschutzbeauftragte:n bestellt (vgl. § 38 BDSG). Bei Fragen zum Datenschutz wende dich bitte direkt an die oben genannte Adresse oder per E-Mail an info@ella-studio.de.

Wir verarbeiten personenbezogene Daten ausschließlich auf Grundlage der DSGVO. Soweit in den folgenden Abschnitten nicht anders angegeben, kommen folgende Rechtsgrundlagen zur Anwendung:

• Art. 6 Abs. 1 lit. a DSGVO — Einwilligung
• Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung und vorvertragliche Maßnahmen
• Art. 6 Abs. 1 lit. c DSGVO — Erfüllung rechtlicher Verpflichtungen (z. B. Steuerrecht)
• Art. 6 Abs. 1 lit. f DSGVO — Wahrung berechtigter Interessen (z. B. IT-Sicherheit, Missbrauchsprävention)
• § 25 Abs. 2 TDDDG — Speicherung/Auslesen von Informationen auf Endgeräten, soweit unbedingt erforderlich

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen Website, unserer Inhalte und Leistungen erforderlich ist oder du eingewilligt hast. Eine Übermittlung an Dritte erfolgt nur in dem in dieser Erklärung beschriebenen Umfang.

Soweit wir für einzelne Funktionen Auftragsverarbeiter einsetzen, haben wir mit diesen Verträge gemäß Art. 28 DSGVO geschlossen.

Unsere Website nutzt zwei Infrastrukturebenen: GoDaddy als Ursprungsserver für das Webhosting und Cloudflare als vorgelagerte Sicherheits- und Delivery-Schicht (CDN/Edge). Alle eingehenden Anfragen werden zunächst von Cloudflare verarbeitet und dann an den GoDaddy-Server weitergeleitet; beide Anbieter verarbeiten dabei technische Verbindungsdaten.

Cloudflare, Inc. (101 Townsend St, San Francisco, CA 94107, USA) übernimmt Schutz vor Angriffen (DDoS, Bot-Abwehr), Zwischenspeicherung und schnelle Auslieferung der Inhalte an Besucher:innen. Dabei verarbeitet Cloudflare insbesondere IP-Adressen. Datenschutzinformationen: cloudflare.com/privacypolicy.

GoDaddy.com, LLC (100 S. Mill Ave., Suite 1600, Tempe, AZ 85281, USA) stellt den Ursprungsserver und das Webhosting bereit. GoDaddy verarbeitet im Rahmen des Hostingbetriebs technische Verbindungsdaten (IP-Adressen, Zugriffsprotokolle). GoDaddy ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend stützen wir die Datenübermittlung auf EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO. Datenschutzinformationen: godaddy.com/de-de/legal/agreements/privacy-policy.

Anwendungs-, Datenbank- und Authentifizierungsdienste betreiben wir über Supabase (Supabase Inc., 970 Toa Payoh North, #07-04, Singapore 318992) mit Serverstandort EU (Frankfurt am Main, Deutschland). Datenschutzinformationen: supabase.com/privacy.

Mit allen genannten Anbietern bestehen Auftragsverarbeitungsverträge nach Art. 28 DSGVO. Für eine etwaige Übermittlung personenbezogener Daten in Drittländer (insbesondere USA) stützen wir uns auf das EU-US Data Privacy Framework bzw. EU-Standardvertragsklauseln gemäß Art. 46 DSGVO mit ergänzenden Schutzmaßnahmen.

Server-Logfiles

Bei jedem Zugriff auf unsere Website werden technisch folgende Daten verarbeitet:

• gekürzte IP-Adresse
• Datum und Uhrzeit des Zugriffs
• aufgerufene URL / Endpunkt
• HTTP-Statuscode und übertragene Datenmenge
• Referrer-URL
• verwendeter Browser, Betriebssystem (User-Agent)

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO. Berechtigtes Interesse: Stabilität, Sicherheit und Fehleranalyse. Speicherdauer: max. 14 Tage, danach Löschung oder Anonymisierung. Eine Zusammenführung mit anderen Datenquellen zu Werbezwecken findet nicht statt.

Wenn du unser Kontakt- oder Event-Anfrageformular nutzt, verarbeiten wir die von dir angegebenen Daten (Vor- und Nachname, E-Mail-Adresse, Betreff/Anliegen und Nachrichtentext). Zur Missbrauchsprävention speichern wir zusätzlich deine IP-Adresse und den User-Agent.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen) bzw. Art. 6 Abs. 1 lit. f DSGVO (effiziente Bearbeitung von Anfragen, IT-Sicherheit).

Speicherdauer: bis zur abschließenden Bearbeitung deiner Anfrage; darüber hinaus zur Nachweisführung und für etwaige Anschlussfragen bis zu 24 Monate. Gesetzliche Aufbewahrungspflichten (insb. § 257 HGB, § 147 AO) bleiben unberührt.

Für die Buchung von Kursen, den Erwerb von Memberships und die Verwaltung von Credits kannst du ein Kundenkonto anlegen. Wir verarbeiten dabei folgende Daten:

• E-Mail-Adresse
• Passwort (ausschließlich als sicherer Hash, im Klartext nicht einsehbar)
• Vor- und Nachname
• optional: Telefonnummer, Geburtsdatum, Geschlecht, Profilbild/Avatar
• Zeitstempel zu Anmeldung und Kontoänderungen

Die Authentifizierung erfolgt über Supabase Auth (siehe Ziff. 5). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Du kannst dein Konto jederzeit löschen lassen; gesetzliche Aufbewahrungspflichten für vertragsrelevante Daten (s. Ziff. 9) bleiben hiervon unberührt.

Zur Durchführung des Vertragsverhältnisses verarbeiten wir Daten zu deinen Buchungen, Wartelisten-Einträgen, Stornierungen, Check-ins, eingesetzten Credits, Self-Training-Sessions, Mitgliedschaften und ggf. Schnupperangeboten („Intro-Purchases“).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Speicherdauer: für die Dauer des Vertragsverhältnisses zzgl. der gesetzlichen Verjährungs- und Aufbewahrungsfristen (regelmäßig bis zu 10 Jahre).

Zahlungen, Memberships und Rechnungen werden über Stripe Payments Europe, Ltd. (1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland) und ggf. Stripe Inc. (USA) abgewickelt. Stripe ist hinsichtlich der Zahlungsabwicklung eigenständig Verantwortlicher.

Wir übermitteln an Stripe nur die für die Abwicklung notwendigen Daten (insbesondere Betrag, Währung, Produkt-/Paketbezeichnung, E-Mail-Adresse, Stripe-Customer-/Subscription-/Session-IDs). Deine Zahlungsmitteldaten (z. B. Kreditkartennummer, IBAN) gibst du direkt bei Stripe ein — wir erhalten, speichern oder verarbeiten sie nicht.

Stripe kann Daten in die USA übermitteln. Stripe ist nach dem EU-US Data Privacy Framework zertifiziert und schließt ergänzend EU-Standardvertragsklauseln. Weitere Informationen: stripe.com/de/privacy.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. c DSGVO (handels- und steuerrechtliche Pflichten).

Wir erstellen Rechnungen mit den gesetzlich vorgeschriebenen Angaben (u. a. Name, Anschrift sofern erforderlich, Leistungsbeschreibung, Betrag, Datum, fortlaufende Rechnungsnummer) und speichern sie als PDF in unserem System.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO i. V. m. §§ 14, 14a UStG, § 147 AO, § 257 HGB. Aufbewahrungsdauer: 10 Jahre.

Wenn du dein Hansefit-Konto mit deinem ELLA-Studio-Konto verknüpfst, verarbeiten wir die zur Identifikation notwendigen Verknüpfungsdaten und Check-ins, um deine Teilnahmen über Hansefit abzurechnen. Hierfür übermitteln wir Check-in-Daten an die Hansefit GmbH, Salzstraße 1, 49809 Lingen (Ems).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO. Datenschutzinformationen von Hansefit: hansefit.de/datenschutz.

Wir versenden im Rahmen unserer Vertragsbeziehung transaktionale E-Mails, insbesondere: Anmeldebestätigungen, Buchungs- und Stornobestätigungen, Erinnerungen an bevorstehende Kurse, Antworten auf Anfragen, Rechnungen sowie Hinweise zur Mitgliedschaft.

Hierzu protokollieren wir Versanddatum, Empfänger-Adresse, Vorlagentyp, Status (gesendet, zugestellt, Bounce, Beschwerde) sowie Fehlermeldungen. Adressen, die ungültig sind, sich abmelden oder uns als Spam markieren, nehmen wir in eine sogenannte Suppression-Liste auf, damit wir keine weiteren E-Mails dieses Typs an diese Adresse versenden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) sowie Art. 6 Abs. 1 lit. f DSGVO (Sicherstellung einer zuverlässigen Kommunikation, Schutz unserer Reputation als Versender).

Versanddienstleister: Der Versand erfolgt über Microsoft Outlook im Rahmen von Microsoft 365 (Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA). Microsoft verarbeitet dabei als Auftragsverarbeiter E-Mail-Adressen, Namen und Nachrichteninhalte. Microsoft ist nach dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO sowie ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO (Microsoft Online Services Data Protection Addendum). Datenschutzinformationen: privacy.microsoft.com/de-de/privacystatement.

Wir versenden derzeit keine werblichen Newsletter. Sollten wir hierfür künftig ein Angebot einführen, erfolgt der Versand ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 7 Abs. 2 UWG) im Double-Opt-In-Verfahren mit jederzeitiger Abbestellmöglichkeit.

Wir setzen ausschließlich technisch notwendige Cookies und Browser-Speicher (localStorage/sessionStorage) ein, insbesondere zur Speicherung deiner Login-Sitzung und zur Sicherung des Bezahlvorgangs. Diese sind gemäß § 25 Abs. 2 Nr. 2 TDDDG einwilligungsfrei zulässig, da sie für die ausdrücklich von dir gewünschten Funktionen unbedingt erforderlich sind.

Es kommen keine Analyse-, Tracking-, Marketing- oder Social-Media-Cookies zum Einsatz. Eine ausführliche Übersicht findest du in unseren Cookie-Hinweisen.

Auf unserer Website verlinken wir auf unsere Profile bei Instagram (Meta Platforms Ireland Limited, Merrion Road, Dublin 4, Irland) und TikTok (TikTok Technology Limited, 10 Earlsfort Terrace, Dublin 2, Irland). Es handelt sich um einfache HTML-Links; es werden keine Social-Plugins, Pixel oder iFrames eingebunden, die ohne dein Zutun Daten an die Anbieter übermitteln.

Sobald du auf einen dieser Links klickst und die jeweilige Plattform aufrufst, gelten die Datenschutzbestimmungen des jeweiligen Anbieters.

Wir geben personenbezogene Daten nur an folgende Empfänger weiter:

• Cloudflare, Inc. — Edge-Delivery, Sicherheitsschicht (Auftragsverarbeiter)
• GoDaddy.com, LLC — Webhosting, Ursprungsserver (Auftragsverarbeiter)
• Supabase Inc. — Datenbank, Authentifizierung, Storage; Serverstandort EU (Auftragsverarbeiter)
• Stripe Payments Europe, Ltd. — Zahlungsabwicklung (eigenständig Verantwortlicher)
• Hansefit GmbH — nur bei verknüpftem Hansefit-Konto (Übermittlung der Check-ins)
• Microsoft Corporation (Outlook / Microsoft 365) — transaktionaler E-Mail-Versand (Auftragsverarbeiter)
• Steuerberatung, Wirtschaftsprüfung und Bank, soweit zur Abwicklung erforderlich
• Behörden und Gerichte, soweit gesetzlich vorgeschrieben

Eine Übermittlung in Drittländer außerhalb der EU/des EWR findet im Rahmen der oben genannten Dienste (insb. Cloudflare, GoDaddy, Stripe, Microsoft) statt. Diese Übermittlungen stützen wir entweder auf das EU-US Data Privacy Framework (Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO) oder auf EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO, ergänzt durch geeignete Schutzmaßnahmen.

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.

Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Erklärung beschriebenen Zwecke erforderlich ist oder gesetzliche Aufbewahrungspflichten dies vorschreiben (insb. 6 Jahre nach § 257 HGB, 10 Jahre nach § 147 AO). Nach Wegfall des Zwecks und Ablauf etwaiger Fristen werden die Daten gelöscht oder anonymisiert.

Dir stehen als betroffene Person folgende Rechte zu:

• Auskunft über die zu deiner Person gespeicherten Daten (Art. 15 DSGVO)
• Berichtigung unrichtiger oder unvollständiger Daten (Art. 16 DSGVO)
• Löschung deiner Daten (Art. 17 DSGVO), soweit keine gesetzliche Aufbewahrungspflicht entgegensteht
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit in einem strukturierten, gängigen, maschinenlesbaren Format (Art. 20 DSGVO)
• Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. f DSGVO beruhen, aus Gründen, die sich aus deiner besonderen Situation ergeben (Art. 21 DSGVO)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an info@ella-studio.de.

Unbeschadet anderweitiger Rechtsbehelfe steht dir ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu (Art. 77 DSGVO). Für uns zuständig ist:

Du kannst dich aber auch an jede andere Aufsichtsbehörde im EU-/EWR-Raum wenden, insbesondere am Ort deines Aufenthalts oder Arbeitsplatzes.

Die Bereitstellung personenbezogener Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Für die Erfüllung eines Vertrags mit uns (z. B. Buchung eines Kurses, Erwerb einer Mitgliedschaft) sind bestimmte Daten jedoch erforderlich; ohne diese können wir den Vertrag nicht oder nur eingeschränkt erfüllen.

Die Übertragung erfolgt verschlüsselt über HTTPS (TLS). Passwörter werden ausschließlich gehasht gespeichert. Wir treffen technische und organisatorische Maßnahmen nach Art. 32 DSGVO, um deine Daten vor unbefugtem Zugriff, Verlust, Veränderung und Zerstörung zu schützen (u. a. Zugriffskontrollen, Rollen- und Rechtemanagement über Row-Level-Security, regelmäßige Sicherungen, Protokollierung).

Wir passen diese Datenschutzerklärung an, wenn sich Funktionen, eingesetzte Dienstleister oder die Rechtslage ändern. Die jeweils aktuelle Fassung ist stets unter /legal/datenschutz abrufbar.