Home Karriere Registrieren

Datenschutzerklärung

Informationen zum Umgang mit Ihren personenbezogenen Daten

Stand: 21. Mai 2026. Entwurf.

Diese Datenschutzerklärung informiert Sie über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb unseres Online-Angebots und der zugehörigen Webseiten, Funktionen und Inhalte sowie unserer mobilen iOS-Anwendung (nachfolgend gemeinsam „Online-Angebot" oder „App" genannt).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne von Art. 4 Nr. 7 DSGVO ist:

The Hundred GmbH (i.G.)

In der Au 27

61440 Oberursel (Taunus)

Deutschland

 

Vertreten durch die Geschäftsführer: Jana Uhrmeister, Rick Jäger

E-Mail: info@thehundred-pilates.de

 

Handelsregister: Eintragung beim Amtsgericht ist beantragt; die HRB-Nummer wird nach Eintragung unverzüglich ergänzt.

2. Allgemeine Hinweise zur Datenverarbeitung

2.1 Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website und der mobilen App, unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung des Nutzers oder auf einer der in Art. 6 Abs. 1 DSGVO genannten Rechtsgrundlagen.

2.2 Rechtsgrundlagen

  • Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) bei aktiv erteilter Zustimmung (z. B. Newsletter, Push-Benachrichtigungen, Marketing-Fotos).
  • Art. 6 Abs. 1 lit. b DSGVO (Vertrag) für die Abwicklung von Buchungen, Mitgliedschaften, Zahlungen und Kundenkonten.
  • Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) z. B. für die handels- und steuerrechtliche Aufbewahrung von Rechnungen.
  • Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse) für die technisch sichere und stabile Bereitstellung der Website / App, Server-Logs, Betrugsprävention.

2.3 Speicherdauer

Wir speichern personenbezogene Daten nur so lange, wie dies zur Erreichung des Verarbeitungszwecks erforderlich ist oder gesetzliche Aufbewahrungspflichten (insbesondere § 257 HGB, § 147 AO – in der Regel bis zu 10 Jahre) bestehen. Nach Wegfall des Zwecks bzw. Ablauf der Frist werden die Daten gelöscht oder anonymisiert.

2.4 Datenübermittlung in Drittländer

Soweit wir Daten in Länder außerhalb des Europäischen Wirtschaftsraums (EWR), insbesondere in die USA, übermitteln, geschieht dies auf Grundlage des EU-US Data Privacy Framework (Angemessenheitsbeschluss vom 10.07.2023) oder gemäß EU-Standardvertragsklauseln nach Art. 46 DSGVO. Die einzelnen Dienste sind in Abschnitt 8 dieser Erklärung aufgeführt.

3. Bereitstellung der Website und Server-Logfiles

Beim Aufrufen unserer Website werden durch unseren Hosting-Anbieter automatisiert Daten und Informationen vom Computersystem des aufrufenden Endgeräts in sogenannten Server-Logfiles erfasst:

  • Browsertyp und -version
  • Betriebssystem
  • Referrer-URL
  • IP-Adresse (gekürzt, soweit technisch möglich)
  • Datum und Uhrzeit des Zugriffs

Zweck und Rechtsgrundlage: Die Datenverarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO zum Zweck der stabilen Bereitstellung des Online-Angebots und zur Sicherstellung der Systemsicherheit.

Speicherdauer: Server-Logs werden nach maximal 30 Tagen automatisch gelöscht, sofern kein konkreter Verdacht auf Missbrauch eine längere Speicherung im Einzelfall rechtfertigt.

4. Kundenkonto und Buchungsdaten (Website + iOS-App)

4.1 Registrierung

Für die Nutzung von Buchungs- und Mitgliedschaftsfunktionen ist die Anlage eines Kundenkontos erforderlich. Hierbei werden folgende Daten erhoben:

Pflichtangaben: Vorname, Nachname, E-Mail-Adresse, Passwort (verschlüsselt gespeichert) oder Anmeldung über Apple Sign In bzw. Google Sign In (vgl. Abschnitt 5).

Optionale Angaben: Telefonnummer, Adresse (Straße, Hausnummer, PLZ, Ort), persönliche Hinweise zum Trainingszustand (z. B. Verletzungen), Profilfoto, Hands-on/Hands-off-Einstellung.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung und vorvertragliche Maßnahmen).

Speicherdauer: Die Daten werden für die Dauer des Vertragsverhältnisses gespeichert. Nach Vertragsende werden die Daten gelöscht, soweit keine gesetzlichen Aufbewahrungspflichten (HGB, AO) entgegenstehen — diese gelten dann für maximal 10 Jahre.

4.2 Buchungs- und Mitgliedschaftsdaten

Im Rahmen der Buchung von Stunden und der Verwaltung von Mitgliedschaften verarbeiten wir:

  • Buchungs- und Stornierungshistorie (Kursinstanzen, Zeitstempel, Trainer, Anwesenheits-Status)
  • Mitgliedschaftsdaten (Art der Mitgliedschaft, Laufzeit, verbleibende Credits, Verlängerungs- und Ablaufdaten, Pausierungszeiträume)
  • Stripe-Customer-ID (technischer Identifier ohne sensible Zahlungsdaten)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

Sichtbarkeit von „persönlichen Hinweisen": Die im Profil hinterlegten Hinweise zu Vorerkrankungen, Verletzungen oder besonderen körperlichen Umständen sind aus organisatorischen und sicherheitstechnischen Gründen für die Trainerinnen und Trainer der gebuchten Stunde einsehbar. Die Hinweise sind freiwillig.

4.3 Sichere Speicherung

Passwörter werden ausschließlich als gesalzene Hashes über unseren Auftragsverarbeiter Supabase gespeichert (siehe Abschnitt 8.1). Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert oder übermittelt.

5. Anmeldung mit Drittanbietern (Apple / Google)

5.1 Apple Sign In

Wir bieten die Anmeldung über „Apple anmelden" an. Bei Nutzung dieser Funktion werden Sie zu Apple weitergeleitet und authentifizieren sich dort. Apple übermittelt uns anschließend einen pseudonymen Identifier sowie Ihren Namen und – falls von Ihnen freigegeben – Ihre E-Mail-Adresse (entweder die echte oder eine Apple-Relay-Adresse, von der wir nicht ableiten können, wem sie zugeordnet ist).

  • Anbieter: Apple Distribution International Ltd., Hollyhill Industrial Estate, Hollyhill, Cork, Irland.
  • Verarbeitete Daten: Apple User Identifier, ggf. E-Mail-Adresse (echt oder Relay), Vorname und Nachname (sofern freigegeben).
  • Zweck: vereinfachte Anmeldung ohne separates Passwort.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung mit dem ersten Tap auf den Apple-Button).
  • Datenschutzerklärung von Apple: https://www.apple.com/legal/privacy/de-ww/

5.2 Google Sign In

Sobald wir die Funktion „Mit Google anmelden" anbieten, gelten die folgenden Regeln (zum Zeitpunkt dieses Dokuments noch nicht produktiv aktiviert):

  • Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland; ggf. Google LLC, USA.
  • Verarbeitete Daten: Google-Konto-ID, Name, E-Mail-Adresse, Profilbild (sofern freigegeben).
  • Zweck: vereinfachte Anmeldung ohne separates Passwort.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. a DSGVO.
  • Drittlandtransfer: USA, abgesichert über EU-US Data Privacy Framework.
  • Datenschutzerklärung von Google: https://policies.google.com/privacy

6. iOS-App im Besonderen

6.1 Datenverarbeitung in der App

Die iOS-App von The Hundred greift auf dieselben Backend-Dienste zu wie die Website (Supabase, Stripe, Resend). Es gelten daher die Hinweise aus den Abschnitten 4 und 8 entsprechend.

Zusätzlich verarbeitet die App folgende Daten lokal auf Ihrem Gerät, ohne sie an unsere Server zu übermitteln:

  • letzte gewählte Stunden-Filter, letzter angesehener Kurs
  • Onboarding-Status (gesehen ja/nein)
  • Entwurfsdaten in Formularen, die noch nicht abgesendet wurden

6.2 Push-Benachrichtigungen (Apple Push Notification Service / APNs)

Mit Ihrer Einwilligung senden wir Push-Benachrichtigungen, z. B. als Erinnerung 24 Stunden vor einer gebuchten Stunde oder bei Öffnung des Check-in-Fensters.

  • Anbieter: Apple Distribution International Ltd. (Irland) / Apple Inc. (USA) als Sub-Processor.
  • Verarbeitete Daten: Device-Token (pseudonymer Push-Identifier), die Inhalte der Benachrichtigung (Kursname, Uhrzeit, Buchungs-ID).
  • Zweck: Versand von Erinnerungs- und Service-Push-Nachrichten.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei erstmaliger Aufforderung durch das iOS-System) und Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung bei buchungsbezogenen Benachrichtigungen).
  • Widerruf: Sie können Push-Benachrichtigungen jederzeit in den iOS-System-Einstellungen unter „The Hundred → Mitteilungen" oder in der App unter „Profil → Benachrichtigungen" deaktivieren. Bei Deaktivierung wird der Device-Token von unseren Servern entfernt.
  • Drittlandtransfer: USA (über APNs), abgesichert über EU-US Data Privacy Framework.

6.3 Berechtigungen der App

Die App fordert nach Bedarf folgende iOS-Berechtigungen an:

  • Mitteilungen (für Push-Benachrichtigungen, siehe 6.2)
  • Kamera (optional, für Profilfoto-Upload)
  • Foto-Bibliothek (optional, für Profilfoto-Upload)

Sie können jede Berechtigung in den iOS-System-Einstellungen unter „The Hundred" jederzeit widerrufen.

6.4 Keine Analyse-Tracker

Die App nutzt keine Analyse-Frameworks von Drittanbietern (z. B. Google Analytics, Firebase, Mixpanel, Facebook SDK). Es findet kein Tracking über App-Sitzungen, App-Nutzung oder Geräte hinaus statt.

7. Zahlungsabwicklung (Stripe)

Zur Abwicklung von Käufen (Einzelstunden, 10er-Karte, Mitgliedschaften) setzen wir den Zahlungsdienstleister Stripe ein. Wenn Sie einen kostenpflichtigen Vorgang abschließen, werden die hierfür erforderlichen Zahlungsdaten (insbesondere Kartennummer, Ablaufdatum, Prüfziffer; bei SEPA-Lastschrift IBAN; bei Apple/Google Pay tokenisierte Zahlungsdaten) direkt an Stripe übermittelt. Wir haben zu diesen Daten keinen Zugriff und speichern sie nicht auf unseren Servern.

  • Anbieter (EU): Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland.
  • Verarbeitete Daten durch Stripe: Zahlungsmittel-Daten, Name, E-Mail-Adresse, Rechnungsadresse, IP-Adresse, Geräte-Fingerabdrücke (zur Betrugsprävention), Transaktionshistorie.
  • An uns übermittelte Daten: Stripe-Customer-ID (Identifier ohne Klartext-Zahlungsdaten), Status der Zahlung (erfolgreich/fehlgeschlagen), letzte 4 Ziffern der Karte (für die Anzeige als „Visa •••• 4829"), Marken-Information der Karte, Abo-Status.
  • Zweck: Abwicklung von Zahlungen, Abonnement-Verwaltung, Rechnungsstellung, Betrugsprävention.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung); Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).
  • Drittlandtransfer: Stripe verarbeitet Daten teilweise in den USA (Stripe, Inc.). Die Übermittlung ist über EU-US Data Privacy Framework und EU-Standardvertragsklauseln abgesichert.
  • Datenschutzerklärung Stripe: https://stripe.com/de/privacy

8. Auftragsverarbeiter und eingesetzte Dienstleister

Wir setzen folgende Auftragsverarbeiter im Sinne von Art. 28 DSGVO ein. Mit jedem dieser Dienstleister haben wir Auftragsverarbeitungsverträge (DPAs) geschlossen.

8.1 Supabase (Auth, Datenbank, Edge-Functions, Storage)

  • Anbieter: Supabase, Inc., 970 Toa Payoh North, #07-04, Singapore 318992 (Sitz); EU-Region (Frankfurt) für die Datenhaltung.
  • Verarbeitete Daten: Kundenkonto-Daten, Buchungen, Mitgliedschaften, Credit-Transaktionen, Push-Tokens, sämtliche durch die App / Website erzeugten Inhalte.
  • Zweck: Datenbankhaltung, Authentifizierung, Bereitstellung von Server-Funktionen, Datei-Storage (Profilfotos).
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
  • Datenhaltung: EU-Region (Frankfurt). Teile der Infrastruktur (z. B. Logging, Support-Tooling) können von Supabase, Inc. in den USA betreut werden; die Übermittlung ist über EU-Standardvertragsklauseln und das EU-US Data Privacy Framework abgesichert.
  • Datenschutzerklärung Supabase: https://supabase.com/privacy

8.2 Resend (E-Mail-Versand)

  • Anbieter: Resend, Inc., 2261 Market Street #5039, San Francisco, CA 94114, USA.
  • Verarbeitete Daten: Empfänger-E-Mail-Adresse, Inhalt der versendeten E-Mail (Bestellbestätigungen, Stornobestätigungen, Abo-Verlängerungen, Newsletter, Credit-Ablauf-Warnungen, Kündigungsbestätigungen).
  • Zweck: Versand transaktionaler und informativer E-Mails.
  • Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung bei Newsletter).
  • Drittlandtransfer: USA. Abgesichert über EU-US Data Privacy Framework und EU-Standardvertragsklauseln.
  • Datenschutzerklärung Resend: https://resend.com/legal/privacy-policy

8.3 Apple Push Notification Service (APNs)

Vgl. Abschnitt 6.2.

8.4 Apple Sign In / Google Sign In (sofern aktiv)

Vgl. Abschnitt 5.

8.5 Hosting (Netlify)

Die Website www.thehundred-pilates.de wird über Netlify, Inc. (44 Montgomery Street, Suite 300, San Francisco, CA 94104, USA) ausgeliefert. Beim Aufruf der Website werden die in Abschnitt 3 genannten Server-Logfiles durch Netlify erfasst. Die Datenübermittlung in die USA ist über EU-US Data Privacy Framework und EU-Standardvertragsklauseln abgesichert.

Datenschutzerklärung Netlify: https://www.netlify.com/privacy/

9. Newsletter

Mit Ihrer Einwilligung versenden wir einen Newsletter mit aktuellen Informationen zu unseren Angeboten und Events. Für den Versand verwenden wir den in Abschnitt 8.2 genannten Dienst Resend. Der Bezug des Newsletters ist freiwillig und jederzeit über den in jeder Newsletter-E-Mail enthaltenen Abmelde-Link kündbar (Double-Opt-In: nach Anmeldung erhalten Sie eine Bestätigungs-E-Mail).

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Bei Bestandskunden ggf. zusätzlich Art. 6 Abs. 1 lit. f DSGVO i. V. m. § 7 Abs. 3 UWG für Werbung für eigene ähnliche Waren oder Dienstleistungen.

Speicherdauer: Bis zum Widerruf der Einwilligung. Nach Widerruf wird die E-Mail-Adresse aus der Versandliste entfernt, jedoch ggf. in einer Sperrliste vorgehalten, um eine versehentliche erneute Anmeldung zu verhindern.

10. Bild- und Tonaufnahmen im Studio

Wir können – nur mit Ihrer vorherigen ausdrücklichen Einwilligung – Bild- oder Tonaufnahmen während ausgewählter Stunden oder Events anfertigen und veröffentlichen (z. B. auf Instagram oder der Website). Eine Veröffentlichung erfolgt ausschließlich nach freiwilliger Einwilligung in Textform und kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

11. Soziale Medien

Wir betreiben Profile bei sozialen Netzwerken (insbesondere Instagram). Die Inhalte werden über die Plattformen selbst dargestellt. Beim Aufruf unseres Profils auf einer Plattform gelten die jeweiligen Datenschutzbestimmungen der Plattform.

Auf unserer Website setzen wir keine Social-Media-Plugins ein, die ohne Ihre aktive Einwilligung Daten an die Plattformen senden.

12. Cookies

Unsere Website setzt nur technisch erforderliche Cookies (z. B. zur Wahrung des Login-Status). Tracking- oder Marketing-Cookies werden nicht eingesetzt. Daher ist kein Cookie-Banner erforderlich. Sollten wir in Zukunft Cookies zu Analyse- oder Marketingzwecken einsetzen, werden wir Sie über ein Consent-Banner informieren und Ihre Einwilligung einholen, bevor entsprechende Cookies gesetzt werden.

Die iOS-App nutzt keine Cookies (Cookies sind ein Web-Konzept).

13. Ihre Rechte als betroffene Person

Sie haben jederzeit das Recht:

  • Auskunft über die zu Ihrer Person gespeicherten Daten zu verlangen (Art. 15 DSGVO);
  • die Berichtigung unrichtiger Daten zu verlangen (Art. 16 DSGVO);
  • die Löschung Ihrer Daten zu verlangen, soweit keine gesetzliche Aufbewahrungspflicht entgegensteht (Art. 17 DSGVO – „Recht auf Vergessenwerden");
  • die Einschränkung der Verarbeitung zu verlangen (Art. 18 DSGVO);
  • Datenübertragbarkeit zu verlangen (Art. 20 DSGVO);
  • der Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben, zu widersprechen (Art. 21 DSGVO);
  • eine erteilte Einwilligung jederzeit zu widerrufen (Art. 7 Abs. 3 DSGVO) — der Widerruf wirkt für die Zukunft;
  • sich bei einer Aufsichtsbehörde zu beschweren (Art. 77 DSGVO).

Zur Geltendmachung Ihrer Rechte oder bei Rückfragen wenden Sie sich bitte an: info@thehundred-pilates.de.

Zuständige Aufsichtsbehörde:

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit

Postfach 3163, 65021 Wiesbaden

Telefon: +49 611 1408-0

E-Mail: poststelle@datenschutz.hessen.de

https://datenschutz.hessen.de

14. Datensicherheit

Wir verwenden bei Website-Besuchen und in der App das verbreitete TLS-Verfahren (Transport Layer Security) zur Verschlüsselung der Verbindungen. Personenbezogene Daten werden ausschließlich verschlüsselt übertragen. Passwörter werden gesalzen und gehasht gespeichert; Klartext-Passwörter werden zu keinem Zeitpunkt gespeichert oder verarbeitet.

Wir treffen technische und organisatorische Maßnahmen, um Ihre Daten vor zufälliger oder vorsätzlicher Manipulation, teilweisem oder vollständigem Verlust, Zerstörung oder unberechtigtem Zugriff durch Dritte zu schützen.

15. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder Änderungen unserer Leistungen umgesetzt werden, z. B. bei Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die jeweils aktuelle Datenschutzerklärung. Die jeweils aktuelle Fassung ist abrufbar unter https://thehundred-pilates.de/datenschutz.