athleo Logo
Zurück zur Startseite

Datenschutzerklärung

Stand: November 2025

1. Verantwortlicher & Geltungsbereich

athleo UG (haftungsbeschränkt)

Prenzlauer Allee 181, 10405 Berlin, Deutschland

E-Mail: team@athleo.de, Tel.: +49 157 88077540

Registergericht: AG Charlottenburg, HRB 276585

USt-ID: DE456999337

Vertretungsberechtigte Geschäftsführer: Fabian Schmidt, Philipp Hoffmann, Ben J. Pfeiffer

Web: www.athleo.de

Diese Datenschutzerklärung gilt für unsere Website, unsere Landingpages (inkl. studio-Subdomains) sowie für die interne SaaS-/CRM-Verarbeitung im Zusammenhang mit unseren Leistungen (Leadgenerierung, Terminvereinbarung, Kommunikation, Zahlungsabwicklung).

2. Grundsätze der Datenverarbeitung

Wir verarbeiten personenbezogene Daten nach DSGVO und TDDDG (zuvor TTDSG). Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Betroffenenrechte werden nachfolgend je Verarbeitung beschrieben. Nicht technisch notwendige Cookies/Tracker werden erst nach Einwilligung eingesetzt (Opt-in mit Ablehnen-Option).

3. Hosting, Infrastruktur & Server-Logs

Hosting:

  • IONOS SE (DE/EU) – Hosting einzelner Webpräsenzen/Landingpages
  • Vercel, Inc. (USA/EU) – Hosting/Deployment von Projekten (Edge/Global-CDN)

Server-Logs: Beim Aufruf unserer Seiten verarbeitet der jeweilige Hoster u. a. IP-Adresse, Datum/Uhrzeit, User-Agent, Referrer, angefragte Ressource. Zweck: technische Bereitstellung, Sicherheit (Art. 6 Abs. 1 lit. f DSGVO). Speicherdauer: bis auf Widerruf (administrative Löschroutine).

Empfänger/Rolle: Hoster als Auftragsverarbeiter (AVV). Bei Übermittlungen in Drittländer gelten DPF/SCC (siehe Ziff. 10).

4. Consent-Management & Cookies/Tracking

Aktuell setzen wir kein Consent-Management-Tool ein. Einwilligungspflichtige Technologien (z. B. Marketing-/Tracking-Cookies, Pixel, IDs) werden erst eingesetzt, sobald ein CMP implementiert ist und du zugestimmt hast (Art. 6 Abs. 1 lit. a DSGVO; § 25 Abs. 1 TDDDG). Technisch notwendige Cookies (z. B. zur Seitenauslieferung) beruhen auf Art. 6 Abs. 1 lit. f DSGVO.

Deine Optionen: Browser-Einstellungen zu Cookies; Widerruf von Einwilligungen jederzeit über die zukünftige CMP-Oberfläche.

5. Kontakt, Formulare & Kommunikation

Formulare (Web/Landingpages, z. B. Tally.so):

Daten: Name, E-Mail, Telefon, Nachricht/Angaben zum Studio/Termin etc.

Zwecke: Beantwortung von Anfragen, Terminvereinbarung, Angebot, Onboarding.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vorvertragliche/vertragliche Kommunikation) bzw. lit. f (berechtigtes Interesse an effizienter Kommunikation); bei Einwilligungen lit. a.

Speicherdauer: bis auf Widerruf bzw. bis Zweckerfüllung; gesetzliche Aufbewahrungspflichten unberührt.

WhatsApp Business API:

Kommunikation über WhatsApp (Meta/WhatsApp Ireland). Inhalte/Metadaten werden zur Abwicklung deiner Anfrage verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. b bzw. lit. f; bei Einwilligung lit. a. Hinweis: WhatsApp verarbeitet Daten als eigener Verantwortlicher (Plattformbetrieb). Details bei WhatsApp.

E-Mail-Newsletter/Broadcasts (z. B. Brevo o. ä.):

Versand an Interessenten/Kunden nur mit (Double-)Opt-In; Widerruf/Abmeldung jederzeit. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) oder § 7 UWG i. V. m. Art. 6 Abs. 1 lit. f DSGVO (Bestandskundenwerbung, sofern zulässig).

Terminbuchung (cal.com):

Verarbeitung deiner Termin- und Kontaktdaten für Slot-Vergabe/Erinnerungen (ggf. via E-Mail/SMS). Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Terminvereinbarung) bzw. lit. f.

6. CRM, Datenquellen & Automatisierung

Datenquellen:

(1) direkt über unsere Formulare/Landingpages, (2) Lead-Import durch Partner-Fitnessstudios, (3) Kommunikationskanäle (WhatsApp/E-Mail).

CRM/Datenbank: Supabase (Speicherung/Verarbeitung der Leads/Kundendaten).

Automatisierung: Make.com (Lead-Ingestion, kanalübergreifende Antworten).

Rechtsgrundlagen: Art. 6 Abs. 1 lit. b (vorvertraglich/vertraglich), lit. f (effiziente Vertriebs-/Supportprozesse), ggf. lit. a (Newsletter/Tracking).

Speicherdauer: Leads/Kontakte bis auf Widerruf bzw. bis Zweckerfüllung. Vertrags-/Abrechnungsdaten nach gesetzlichen Fristen (regelmäßig bis zu 10 Jahre).

7. Online-Marketing & Reichweitenmessung

Diese Dienste werden erst nach Einwilligung aktiviert (TDDDG/Art. 6 Abs. 1 lit. a DSGVO). Ohne Einwilligung keine Speicherung/Auslese nicht notwendiger Identifikatoren auf deinem Endgerät.

Meta Ads / Meta Pixel / Conversions API (Facebook/Instagram):

Zwecke: Kampagnen-Steuerung, Conversion-Messung, ggf. Remarketing; Verarbeitung von Ereignissen (z. B. Seitenaufruf, Formularabsendung), Nutzungs-/Geräte-IDs (fbclid), UTM-Parameter.

Rechtsgrundlage: Einwilligung; Widerruf jederzeit.

Empfänger: Meta Platforms Ireland Ltd. (EU) / Meta Platforms Inc. (USA).

Google Ads (Conversion Tracking):

Zwecke: Erfolgs-/Conversion-Messung von Anzeigen; Verarbeitung von Ereignissen, gclid-ID, UTM-Parametern.

Rechtsgrundlage: Einwilligung; Widerruf jederzeit.

Empfänger: Google Ireland Ltd. (EU) / Google LLC (USA).

Hinweis zu Profilbildung/Remarketing: Soweit eingesetzt, erfolgt dies nur nach Einwilligung; du kannst personalisierte Werbung in den jeweiligen Plattform-Einstellungen anpassen/deaktivieren.

8. Zahlungsabwicklung (Stripe)

Zwecke: Abwicklung von Einmalzahlungen, Abos, Payment-Links; Betrugsprävention; Rechnungsstellung.

Daten: Identitäts-/Kontakt- und Zahlungsdaten (z. B. Name, E-Mail, Rechnungsadresse; Zahlungs-Token; Mandatsdaten); Transaktions-/Kommunikationsdaten; Webhooks an unsere Systeme (z. B. Zahlungserfolg).

Rollen: Stripe kann je nach Prozess (Mit-)Verantwortlicher und/oder Auftragsverarbeiter sein (DPA verfügbar).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag/Durchführung), Art. 6 Abs. 1 lit. c (Aufbewahrung/Steuer), ggf. lit. f (Betrugsprävention).

Speicherdauer: nach gesetzlichen Aufbewahrungsfristen (regelmäßig bis zu 10 Jahre).

9. Gemeinsame Verantwortlichkeit mit Fitnessstudios (Art. 26 DSGVO)

Bei gemeinsam betriebenen Landingpages/Kampagnen sind athleo und das jeweilige Fitnessstudio gemeinsam Verantwortliche für die Erhebung der Leads. Wesentliche Inhalte der Vereinbarung:

  • gemeinsame Zwecke: Lead-Erfassung/-Zuleitung, Kampagnen-Auswertung;
  • Festlegung der primären Kontaktstelle für Betroffenenrechte: team@athleo.de;
  • Informationspflichten werden gegenüber den Betroffenen gemeinsam erfüllt;
  • technische/organisatorische Maßnahmen werden abgestimmt;
  • datenschutzrechtliche Verantwortlichkeiten (insb. für Antwort an Betroffene, Löschkonzepte) sind koordiniert.

Kontaktdaten des jeweiligen Partner-Studios teilen wir auf Anfrage mit.

Für allein von athleo betriebene Seiten/Prozesse ist athleo allein Verantwortlicher.

10. Empfänger, Auftragsverarbeiter & Drittlandtransfers

Typische Empfänger/Auftragsverarbeiter:

  • IONOS SE (DE/EU) – Hosting/CDN
  • Vercel, Inc. (USA/EU) – Hosting/Edge-Delivery
  • Supabase (US/EU, regionspezifisch) – Datenbank/Storage
  • Make.com (EU/Global) – Automatisierung/Integrationen
  • Tally.so (BE/EU) – Formulare
  • cal.com (US/EU) – Terminbuchung
  • Meta / WhatsApp / Instagram (EU/US) – Ads & Kommunikation
  • Google (EU/US) – Ads/Conversion
  • Stripe (EU/US) – Payments

Drittlandübermittlungen: Soweit Daten in die USA oder andere Drittländer übertragen werden, erfolgt dies auf Basis:

  • EU-US Data Privacy Framework (DPF), sofern der Dienst zertifiziert ist; und/oder
  • Standardvertragsklauseln (SCC) inkl. ggf. Transfer Impact Assessment (TIA) und ergänzender Maßnahmen. Details teilt der jeweilige Anbieter in seiner Datenschutzerklärung mit.

11. Speicherdauern & Löschung

  • Server-Logs: bis auf Widerruf (administrative Routinen).
  • Leads/Kommunikation: bis auf Widerruf bzw. bis Zweckerfüllung/Abschluss des Vorgangs.
  • Kunden-/Vertrags-/Zahlungsdaten: nach gesetzlichen Pflichten regelmäßig bis zu 10 Jahre.
  • Newsletter-Einwilligungen/Protokolle: bis zum Widerruf + Nachweisfristen.

Wir löschen/anonymisieren Daten nach Ablauf der jeweiligen Fristen oder auf deinen Widerruf/Löschantrag, sofern keine Pflichten entgegenstehen.

12. Datensicherheit

Wir setzen geeignete technische und organisatorische Maßnahmen (TOMs) ein (TLS-Verschlüsselung, Zugriffskontrollen/RBAC, 2FA, Protokollierung, Backups, Need-to-Know). Bei Auftragsverarbeitern achten wir auf AV-Verträge und angemessene Garantien (DPF/SCC).

13. Rechte der betroffenen Personen

Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch gegen Verarbeitungen, die auf Art. 6 Abs. 1 lit. e oder lit. f beruhen, und gegen Direktwerbung (inkl. Profiling für Direktwerbung). Einwilligungen kannst du jederzeit widerrufen (ohne Rückwirkung auf die bis dahin rechtmäßige Verarbeitung).

Kontakt: team@athleo.de

14. Beschwerderecht

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren. Für uns ist in der Regel die Behörde am Sitz des Unternehmens zuständig (Berlin).

15. Social-Media-Präsenzen

Wir unterhalten Unternehmensseiten bei Facebook, Instagram, LinkedIn. Bei Seiten-Insights etc. kann eine gemeinsame Verantwortlichkeit mit dem jeweiligen Plattformanbieter bestehen. Es gelten ergänzend die Datenschutzhinweise der Plattformen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f (Außenauftritt/Kommunikation) bzw. lit. a (wenn du einwilligst, z. B. in Tracking).

16. Aktualität dieser Erklärung

Wir passen diese Erklärung an, wenn sich Rechtslage, Dienste oder Verarbeitungen ändern. Die aktuelle Fassung ist hier veröffentlicht (Stand: November 2025).

Transparenz-Hinweise & Referenzen (Auswahl)

  • Umbenennung TTDSG → TDDDG am 13. Mai 2024.
  • EU-US Data Privacy Framework (Angemessenheitsbeschluss 10. Juli 2023; jüngste Bestätigung durch EuG, 03.09.2025).
  • Anbieter-Infos: Vercel (DPF), Tally (EU, Datenspeicherung in Europa), Make.com (SCC/DPF-Bezug), cal.com (Privacy/Third-party services), Supabase (Privacy/Regionen), IONOS (Datenschutz/Sicherheit).