Datenschutzerklärung

Stand: Februar 2026

1. Verantwortlicher

Reinhold Kruse
Diestelkamp 5
49328 Melle

Telefon: 0175 2088904
E-Mail: info@reinhold-kruse.de

2. Überblick über die Datenverarbeitung

2.1 Allgemeines

Diese Datenschutzerklärung gilt für die Plattform yogastudio-manager.de sowie alle zugehörigen Subdomains (*.yogastudio-manager.de) und über die Plattform eingebundene eigene Domains der Studios.

Der Yogastudio-Manager ist eine Software-as-a-Service-Plattform (SaaS) zur Verwaltung von Yogastudios. Wir unterscheiden zwischen:

• Plattform-Ebene (yogastudio-manager.de): Registrierung neuer Studios, Informationsseiten
• Studio-Ebene (Subdomains oder eigene Domains): Verwaltungsbereiche der einzelnen Studios (Admin, Yogalehrer, Teilnehmerportal, öffentliche Website)

2.2 Verantwortlichkeiten

Für die Verarbeitung personenbezogener Daten auf der Plattform-Ebene (Registrierung, Landing Page) sind wir Verantwortlicher im Sinne der DSGVO.

Für die Verarbeitung personenbezogener Daten auf der Studio-Ebene (Teilnehmerdaten, Kursdaten, Rechnungen etc.) ist der jeweilige Studio-Inhaber Verantwortlicher. Wir verarbeiten diese Daten als Auftragsverarbeiter im Sinne von Art. 28 DSGVO. Die Einzelheiten sind im Auftragsverarbeitungsvertrag (AVV) geregelt, den jeder Studio-Inhaber bei der Registrierung akzeptiert.

3. Hosting und technische Bereitstellung

3.1 Hosting-Anbieter

Unsere Plattform wird gehostet bei:

ALL-INKL.COM – Neue Medien Münnich
Inhaber: René Münnich
Hauptstraße 68
02742 Friedersdorf
Deutschland

Die Datenverarbeitung erfolgt ausschließlich auf Servern in Deutschland. Es findet kein Transfer personenbezogener Daten in Drittländer statt.

Mit ALL-INKL.COM besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der zuverlässigen Bereitstellung der Plattform).

3.2 SSL-/TLS-Verschlüsselung

Die Plattform nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Sämtliche Datenübertragungen zwischen Ihrem Browser und unseren Servern sind verschlüsselt. Wir verwenden Let's Encrypt Wildcard-Zertifikate.

3.3 Server-Logfiles

Der Hosting-Provider erhebt und speichert automatisch Informationen in Server-Logfiles, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer-URL
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage
• IP-Adresse

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung dieser Daten erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherstellung eines störungsfreien Betriebs).

4. Cookies und Sessions

4.1 Technisch notwendige Cookies

Wir verwenden ausschließlich technisch notwendige Cookies. Ein Session-Cookie wird gesetzt, wenn Sie sich in den geschützten Bereich einloggen (Admin-Bereich, Yogalehrer-Bereich) oder das Teilnehmerportal aufrufen.

Eigenschaft	Details
Name	ysm_{studio-kennung} (variiert je nach Studio)
Zweck	Authentifizierung und Aufrechterhaltung der Sitzung
Speicherdauer	Sitzungsende oder maximal 2 Stunden Inaktivität
Typ	Session-Cookie
Eigenschaften	HttpOnly, Secure (in Produktion), SameSite=Lax

Es werden keine Tracking-Cookies, Analyse-Cookies oder Werbe-Cookies eingesetzt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der technischen Funktionsfähigkeit). Da ausschließlich technisch notwendige Cookies verwendet werden, ist keine Einwilligung erforderlich (§ 25 Abs. 2 Nr. 2 TDDDG).

5. Datenverarbeitung auf der Plattform-Ebene

5.1 Registrierung eines Studios

Bei der Registrierung eines neuen Studios erheben wir:

• Studio-Name
• Vorname und Nachname des Inhabers
• E-Mail-Adresse des Inhabers

Diese Daten sind zur Begründung des Vertragsverhältnisses erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Speicherdauer: Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Kündigung und Ablauf der 90-tägigen Aufbewahrungsfrist werden die Daten vollständig gelöscht, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen (z. B. steuerrechtlich: 10 Jahre für Rechnungsdaten).

5.2 E-Mail-Bestätigung (Double Opt-In)

Bei der Registrierung senden wir eine E-Mail mit einem Bestätigungslink an die angegebene E-Mail-Adresse. Erst nach Klick auf den Link wird das Studio-Konto aktiviert. Der Bestätigungstoken wird als SHA-256-Hash gespeichert und nach der Bestätigung gelöscht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche Maßnahmen).

5.3 Kontaktaufnahme per E-Mail

Wenn Sie uns per E-Mail kontaktieren, werden Ihre Angaben zur Bearbeitung der Anfrage gespeichert. Eine Weitergabe an Dritte erfolgt nicht.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Beantwortung von Anfragen).

6. Datenverarbeitung auf der Studio-Ebene

Die folgenden Datenverarbeitungen finden im Auftrag des jeweiligen Studio-Inhabers statt. Der Studio-Inhaber ist Verantwortlicher für diese Verarbeitungen. Wir sind Auftragsverarbeiter gemäß Art. 28 DSGVO.

6.1 Kategorien verarbeiteter Daten

Im Rahmen der Studio-Verwaltung werden folgende Datenkategorien verarbeitet:

Teilnehmerdaten:

• Name, Vorname, Anschrift
• E-Mail-Adresse, Telefonnummer
• Geburtsdatum (optional)
• Teilnahme an Yogastunden (Anwesenheitsdaten)
• Kartendaten (Prepaid-Kontingente)
• Rechnungs- und Zahlungsdaten

Yogalehrer-Daten:

• Name, Vorname, Kontaktdaten
• Honorardaten
• Zugangskennung (Benutzername, Passwort als bcrypt-Hash)

Benutzer-Daten (Studio-Admins):

• Benutzername, Passwort (als bcrypt-Hash)

6.2 Teilnehmerportal (Token-Zugang)

Teilnehmer können über einen personalisierten Link (Token) auf ihr Portal zugreifen. Es ist kein Login mit Benutzername und Passwort erforderlich.

• Der Token wird als SHA-256-Hash gespeichert
• Der Token ist zeitlich begrenzt gültig
• Zugriffe werden durch Rate-Limiting geschützt
• Token und Studio-Domain müssen zusammenpassen (keine studioübergreifende Nutzung möglich)

6.3 Öffentliche Studio-Website

Studios können optional eine öffentliche Website über die Plattform betreiben. Die auf diesen Websites veröffentlichten Inhalte (Texte, Bilder, Kontaktdaten) liegen in der Verantwortung des jeweiligen Studio-Inhabers.

6.4 Datenisolation zwischen Studios

Jedes Studio verfügt über einen vollständig isolierten Datenbereich. Technisch wird dies sichergestellt durch:

• Mandantentrennung auf Datenbankebene (jede Abfrage ist auf das jeweilige Studio beschränkt)
• Getrennte Sitzungen pro Studio
• Getrennte Dateispeicherung pro Studio
• Getrennte Zugangskontrollen

Ein Zugriff auf Daten anderer Studios ist technisch ausgeschlossen.

7. E-Mail-Versand

7.1 Plattform-E-Mails

Wir versenden E-Mails im eigenen Namen für:

• Registrierungsbestätigungen
• Passwort-Zurücksetzung
• Trial-Ablauf-Warnungen
• Jahresabrechnungen

Absender: noreply@yogastudio-manager.de

7.2 Studio-E-Mails

Im Auftrag der Studios versenden wir E-Mails für:

• Rechnungsversand
• Zahlungserinnerungen und Mahnungen
• Portal-Token-Versand

Diese E-Mails werden über unseren SMTP-Server versendet. Als technischer Absender wird noreply@yogastudio-manager.de verwendet, um die E-Mail-Zustellbarkeit sicherzustellen (SPF/DKIM). Der angezeigte Absendername ist der Studio-Name. Antworten werden an die E-Mail-Adresse des Studios weitergeleitet (Reply-To-Header).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung im Auftrag des Studios als Verantwortlichem).

8. Zahlungsdaten und Abrechnung

8.1 Plattform-Abrechnung

Für die jährliche Abrechnung der Plattformnutzung erheben wir:

• Anzahl der aktiven Teilnehmer pro Studio und Jahr
• Rechnungsadresse des Studio-Inhabers (aus den Stammdaten)

Rechnungen werden als PDF per E-Mail versendet. Die Zahlung erfolgt per Überweisung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsdurchführung).

Speicherdauer: Rechnungsdaten werden gemäß den gesetzlichen Aufbewahrungsfristen für 10 Jahre gespeichert (§ 147 AO, § 257 HGB).

8.2 Studio-interne Finanzdaten

Die von Studios erfassten Finanzdaten (Rechnungen an Teilnehmer, Zahlungen, Bankimporte, Buchungen) werden als Auftragsverarbeiter verarbeitet und gespeichert. Die Verantwortung für diese Daten liegt beim jeweiligen Studio-Inhaber.

9. Datensicherheit

Wir setzen folgende technische und organisatorische Maßnahmen ein:

• Verschlüsselung: SSL/TLS-Verschlüsselung für alle Datenübertragungen
• Passwort-Hashing: Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• Token-Hashing: Zugangs- und Bestätigungstokens werden als SHA-256-Hash gespeichert
• Zugriffskontrolle: Rollenbasierte Zugriffskontrolle (Admin, Yogalehrer, Teilnehmer)
• Mandantentrennung: Vollständige Datenisolation zwischen Studios
• Session-Sicherheit: HttpOnly-Cookies, SameSite-Attribut, automatischer Sitzungsablauf
• Rate-Limiting: Schutz gegen Brute-Force-Angriffe bei Login und Token-Zugriff
• Hosting in Deutschland: Kein Datentransfer in Drittländer

10. Ihre Rechte als betroffene Person

10.1 Gegenüber uns als Verantwortlichem (Plattform-Ebene)

Wenn Sie als Studio-Inhaber ein Konto bei uns haben, stehen Ihnen folgende Rechte zu:

• Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten verlangen.
• Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger Daten verlangen.
• Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
• Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen.
• Datenübertragbarkeit (Art. 20 DSGVO): Sie können die Herausgabe Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format verlangen. Wir stellen einen Datenexport als CSV/JSON bereit.
• Widerspruch (Art. 21 DSGVO): Sie können gegen die Verarbeitung Ihrer Daten Widerspruch einlegen, soweit die Verarbeitung auf Art. 6 Abs. 1 lit. f DSGVO beruht.

10.2 Gegenüber dem Studio als Verantwortlichem (Studio-Ebene)

Wenn Sie Teilnehmer, Yogalehrer oder sonstiger Nutzer eines über unsere Plattform verwalteten Studios sind, ist der Studio-Inhaber Verantwortlicher für Ihre Daten. Bitte wenden Sie sich für die Ausübung Ihrer Betroffenenrechte direkt an das jeweilige Studio.

Wir unterstützen die Studios als Auftragsverarbeiter bei der Erfüllung ihrer Pflichten gemäß Art. 28 Abs. 3 lit. e DSGVO.

10.3 Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Die Landesbeauftragte für den Datenschutz Niedersachsen
Prinzenstraße 5
30159 Hannover
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Website: www.lfd.niedersachsen.de

11. Datenlöschung und Aufbewahrung

11.1 Kündigung eines Studios

Nach Kündigung eines Studio-Kontos:

• Der Zugang wird sofort gesperrt
• Die Daten bleiben für 90 Tage erhalten (Grace Period), damit eine Reaktivierung möglich ist und der Studio-Inhaber seine Daten exportieren kann
• Nach Ablauf der 90 Tage werden alle Studio-Daten vollständig gelöscht (Datenbankinhalte und Dateien)
• Ausnahme: Rechnungsdaten der Plattform-Abrechnung werden für 10 Jahre aufbewahrt (gesetzliche Aufbewahrungspflicht)

11.2 Trial-Ablauf

Wenn der kostenlose Testzeitraum (30 Tage) ohne Upgrade abläuft:

• Der Zugang wird gesperrt
• Die Daten bleiben für 90 Tage erhalten
• Nach 90 Tagen werden alle Daten vollständig gelöscht

12. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslagen oder bei Änderungen unseres Dienstes anzupassen. Die jeweils aktuelle Fassung finden Sie stets auf dieser Seite. Studio-Inhaber werden über wesentliche Änderungen per E-Mail informiert.

13. Kontakt für Datenschutzanfragen

Bei Fragen zum Datenschutz wenden Sie sich bitte an:

Reinhold Kruse
Diestelkamp 5
49328 Melle
E-Mail: info@reinhold-kruse.de