Information nach Art. 13 DSGVO

Information nach Art. 13 DSGVO

an neue Kontakte im Rahmen der Mitgliedschaft

und unseren allgemeinen Geschäftsbeziehungen

Verantwortlichkeit für die Datenverarbeitung

hello fit GmbH

Bavariaring 10

87600 Kaufbeuren

Gültig für alle zugehörigen Fitnessstudios im Rahmen unseres Franchisesystem:

hello fit Aichach

hello fit Altötting

hello fit Augsburg

hello fit Bad Wörishofen

hello fit Buchloe

hello fit Burghausen

hello fit Donaueschingen

hello fit Ehingen

hello fit Garching

hello fit Günzburg

hello fit Haar

hello fit Kaufbeuren Nord

hello fit Kaufbeuren Süd

hello fit Kempten

hello fit Landsberg am Lech

hello fit München

hello fit Rammingen

hello fit Weilheim


Rechtsgrundlage der Verarbeitung

Rechtsgrundlage für die Verarbeitung Ihrer personenbezogenen Daten ist primär Art. 6 Abs. 1 lit. b) DSGVO. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich.

Gegebenenfalls stützen wir die Verarbeitung auch auf Art. 6 Abs. 1 lit f) DSGVO. Die Verarbeitung findet aufgrund berechtigten Interesses statt. Wir gehen davon aus, dass die Verarbeitung beispielsweise zur Kommunikation ebenso im Sinne der betroffenen Person ist. Ebenfalls fällt die Speicherung Ihrer Daten in unseren internen Verwaltungsprogrammen darunter.

Für bestimmte andere Verarbeitungen stützen wir die Verarbeitung auch auf Ihre Einwilligung nach Art. 6 Abs. 1 lit. a) DSGVO ggf. in Verbindung mit Art. 9 Abs. 2 lit. a DSGVO. In den betreffenden Fällen holen wir Ihre Einwilligung gesondert ein.

Ebenso kann eine Verarbeitung Ihrer personenbezogenen Daten aufgrund von geltenden Gesetzen (Art. 6 Abs. 1 lit c DSGVO) erfolgen.

Zwecke der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten nur unter Einhaltung der einschlägigen Datenschutzbestimmungen.


Allgemein

Wir verwenden Ihre Daten zur Beantwortung von Anfragen oder Kontaktaufnahme und Kommunikation zum jeweiligen Anliegen.

Hier verarbeiten wir insbesondere folgende Daten:

  • Stammdaten (z. B. Name, Adresse, Kontaktdaten)
  • Korrespondenz (z. B. E-Mails, Schriftverkehr)

Probetraining/Tagesmitgliedschaft

In unseren Studios gibt es die Möglichkeit ein Probetraining über eine Tagesmitgliedschaft durchzuführen. Im Rahmen der Vereinbarung und Durchführung eines Probetrainings verarbeiten wir folgende personenbezogene Daten:

  • Anrede, Vor- und Nachname
  • Geburtsdatum
  • Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse)
  • ggf. Angaben zu gesundheitlichen Einschränkungen, soweit diese für die sichere Durchführung des Trainings erforderlich sind
  • Zahlungsdaten wie angegeben.

Mitgliedschaft

Die Mitgliedschaft bei uns schließen Sie digital ab. Bei Abschluss werden folgende Daten erfasst:

  • Anrede
  • Vor- und Nachname
  • Geburtsdatum
  • Adresse (Strasse, PLZ, Ort)
  • Telefonnummer
  • E-Mail-Adresse
  • Mobilnummer
  • Foto (zum direkten Abgleich bei Zutritt)
  • Angaben zu gesundheitlichen Einschränkungen, soweit diese für die sichere Durchführung des Trainings (z.B. im Rahmen eines Trainingsplanes) erforderlich sind.
  • Die vereinbarten Konditionen&Preise
  • Bankverbindung/andere Zahlungsdaten die Sie im Rahmen des Abschlusses der Mitgliedschaft angegeben haben.

Zutritt zu den Studios

Beim Betreten des Studios werden über die Zutrittskontrolle (Mitgliedskarte, APP, ggf. weitere Zutrittsmöglichkeiten) folgende Daten verarbeitet:

  • Mitgliedsnummer
  • Name
  • Datum und Uhrzeit des Zutritts

Neben den klassischen Zugangsmöglichkeiten haben Sie in einigen Studios die Möglichkeit ein KI-gestütztes, biometrisches Zugangssystem mit Gesichtserkennung zu nutzen.

Wenn Sie sich für den kartenlosen Zugang registrieren, wird kurzzeitig ein Foto aufgenommen. Die Software wandelt dieses Bild sofort in ein biometrisches Template (einen anonymen mathematischen Zahlencode) um. Diese Umwandlung erfolgt irreversible, d.h., dass aus dem Template im Nachhinein kein Bild mehr erzeugt werden kann. Das zur Template-Erzeugung genutzte Lichtbild wird nach Abschluss des Rechenvorgangs unverzüglich gelöscht, sofern Sie nicht gesondert in die Nutzung als Profilbild in der Mitgliederverwaltung eingewilligt haben (je nach Studio). In den Facetronic IDA-Geräten wird ausschließlich des anonymisierten Templates gespeichert.  Dieses Template wird gelöscht, sobald Sie Ihre Einwilligung widerrufen oder Ihre Mitgliedschaft endet.

Das während des Zutrittsversuchs erfasste Lichtbild wird unmittelbar nach der Extraktion der biometrischen Merkmale (Hash-Erzeugung) noch vor dem eigentlichen Abgleich gelöscht. Der aus diesem Bild erstellte temporäre Hash (unabhängig davon, ob der Zutritt gewährt oder abgelehnt wurde) wird nach Ab-schluss des Identifikationsvorgangs ebenfalls unverzüglich gelöscht.

Die erhobenen Bilddaten sowie die daraus generierten biometrischen Templates werden ausschließlich zur Identitätsverifikation im Rahmen der Zutrittskontrolle verwendet. Eine Nut-zung der Daten zur Weiterentwicklung, Optimierung oder zum Training von Algorithmen der künstlichen Intelligenz (KI) ist ausdrücklich ausgeschlossen.

Das während des Zutrittsvorgangs kurzzeitig erfasste Bildmaterial wird ausschließlich im Arbeitsspeicher für den Sekundenbruchteil des Abgleichs verarbeitet und unmittelbar nach der Identifikation gelöscht.

Die Nutzung biometrisch gestützten Verfahren ist absolut freiwillig und erfolgt nur nach Ihrer Einwilligung. Ihnen stehen mit der Karte oder dem QR-Code jederzeit gleichwertige Identifikationswege zur Verfügung, die gänzlich ohne diese Technologie auskommen.

Ihre Daten werden hier in den verschiedenen Mitglieds- und Verwaltungsprogramme gespeichert.

Der Zugriff auf Ihre Daten ist nach einem Rechte- und Rollenkonzept definiert und nur den für den jeweiligen Zweck notwendigem Personenkreis gestattet.

Kommunikation via Whatsapp
Wir bieten die Möglichkeit an, sich mit uns über den Nachrichtendienst WhatsApp der WhatsApp Ireland Limited, 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland, in Kontakt zu treten.

Die Kommunikation über WhatsApp erfolgt über die externen technischen Dienstleister manychat und fittec als Auftragsverarbeiter, die in unserem Auftrag die Bereitstellung und den Betrieb der hierfür erforderlichen Systeme übernimmt.

Hinweis zur Vertraulichkeit: Bitte übermitteln Sie über WhatsApp keine sensiblen Daten (z. B. Gesundheitsdaten, besondere Kategorien personenbezogener Daten) und keine Informationen, die einer besonderen Geheimhaltung unterliegen.

Sofern Sie uns anlässlich eines konkreten Geschäfts per WhatsApp kontaktieren, speichern und verwenden wir die von Ihnen bei WhatsApp genutzte Mobilfunknummer sowie – falls bereitgestellt – Ihren Vor- und Nachnamen gemäß Art. 6 Abs. 1 lit. b) DSGVO zur Bearbeitung und Beantwortung Ihres Anliegens.

Bei der Nutzung von WhatsApp werden zur Kommunikationsabwicklung insbesondere Telefonnummer, Inhaltsdaten (Nachrichten/Anhänge), Metadaten (z. B. Zeitstempel) sowie ggf. Status-/Profilinformationen verarbeitet; je nach Konstellation kann eine Verarbeitung auch in Drittländern (insbesondere USA) nicht ausgeschlossen werden.

Nutzen Sie unseren WhatsApp-Kontakt für allgemeine Anfragen (etwa zum Leistungsspektrum, zu Verfügbarkeiten oder zu unserem Internetauftritt) speichern und verwenden wir die von Ihnen bei WhatsApp genutzte Mobilfunknummer sowie – falls bereitgestellt – Ihren Vor- und Nachnamen gemäß Art. 6 Abs. 1 lit. f) DSGVO auf Basis unseres berechtigten Interesses an der effizienten und zeitnahen Bereitstellung der gewünschten Informationen. Ihre Daten werden stets nur zur Beantwortung Ihres Anliegens per WhatsApp verwendet. Eine Weitergabe an Dritte findet nicht statt.

WhatsApp ist ein Teil der Meta Platforms Inc.-Unternehmensgruppe und teilt mit den verschiedenen Meta-Diensten Infrastruktur, Systeme, Technologie und ggf. personenbezogene Daten (z.B. persönliche Daten, IP-Nummern, etc.).

Zweck und Umfang der Datenerhebung und die weitere Verarbeitung und Nutzung der Daten durch WhatsApp sowie Ihre diesbezüglichen Rechte und Einstellungsmöglichkeiten zum Schutz Ihrer Privatsphäre entnehmen Sie bitte den Datenschutzhinweisen von WhatsApp: https://www.whatsapp.com/legal/?eea=1#privacy-policy

Einsatz von Künstlicher Intelligenz

Zur Unterstützung interner Prozesse und des Kundenservices setzen wir KI-gestützte Systeme (fitAI) ein. Bei einer Supportanfrage per E-Mail kann es sein, dass Sie eine automatisierte Beantwortung über die KI erhalten. Sollte die Anfrage nicht über die KI beantwortet werden, wird die Anfrage an unser internes Supportteam weitergleitet.

Dabei können Ihre eingebenen/in der E-Mail enthaltenen Daten verarbeitet werden.

Der Dienstleister verarbeitet die Daten noch zur Analyse und Verbesserung der KI-basierten Dienstleistungen, um die Servicequalität zu optimieren.

Speicherdauer, bzw. Kriterien zur Festlegung der Dauer

Wir bewahren Ihre uns zur Verfügung gestellten Daten nur so lange auf, um die vorgenannten Zwecke zu erfüllen oder wie es die vom Gesetzgeber vorgesehenen vielfältigen Speicherfristen festlegen. Beispielsweise kann sich die Aufbewahrungsfrist Ihrer Daten aus § 257 des Handelsgesetzbuches (HGB) sowie § 147 der Abgabenordnung (AO) herleiten. Hier wird von jedem Kaufmann gefordert, Handelsbücher für die Dauer von 10 Jahren, sowie Handelsbriefe (auch vertragsrelevante E-Mails) für die Dauer von 6 Jahren aufzubewahren. Die Aufbewahrungsfrist beginnt mit dem Schluss des Kalenderjahrs, in dem die letzte Eintragung in das Handelsbuch gemacht, bzw. der Handelsbrief empfangen oder abgesandt wurde.

Die von der KI verarbeiteten Daten werden nur so lange gespeichert, wie dies für die Erfüllung der oben genannten Zwecke erforderlich ist, es sei denn, es bestehen gesetzliche Aufbewahrungspflichten. Daten, die im Rahmen von Anfragen verarbeitet werden, werden nach Abschluss der Anfrage gelöscht, sofern keine gesetzliche Aufbewahrungspflicht besteht.

Für die Zutrittskontrolle gilt:

Protokolldaten über den Zeitpunkt des Zutritts (ohne Bildbezug) werden in der Regel nach 3 bis 6 Monaten automatisiert anonymisiert oder gelöscht.  Kann eine Person nicht eindeutig identifiziert werden (z. B. bei unbefugten Zutrittsversuchen durch Dritte), werden das Bild, der Zeitstempel und die ID für eine Dauer von maximal 10 Tagen gespeichert. Dies dient der nachträglichen Prüfung technischer Fehler sowie der Aufklärung unberechtigter Zutrittsversuche. Besteht nach einer manuellen Überprüfung der begrün-dete Verdacht eines vorsätzlichen Missbrauchs (z. B. systematische Kartenweitergabe), werden die betreffenden Bilddaten zur Beweissicherung und zur Verfolgung von Rechts-ansprüchen gemäß Art. 6 Abs. 1 lit. f DSGVO bis zum endgültigen Abschluss der rechtlichen Prüfung gespeichert.

Entfällt der jeweilige Zweck bzw. nach Ablauf der entsprechenden Fristen, werden Ihre Daten entsprechend den gesetzlichen Vorschriften gesperrt bzw. gelöscht.

Weitergabe Ihrer Daten an Dritte

Eine Weitergabe Ihrer Daten an Dritte erfolgt nur im Rahmen der gesetzlichen Vorgaben. Wir geben Ihre Daten nur dann weiter, wenn dies z. B. für Vertragszwecke erforderlich ist oder auf Grundlage berechtigter Interessen am wirtschaftlichen und effektiven Betrieb unseres Geschäfts-betriebes.

Sofern wir Subunternehmer einsetzen, um unsere Leistungen bereitzustellen, ergreifen wir geeignete rechtliche Vorkehrungen sowie entsprechende technische und organisatorische Maßnahmen, um für den Schutz der personenbezogenen Daten gemäß den einschlägigen gesetzlichen Vorschriften zu sorgen.

An folgende Dienstleister können Ihre Daten weitergegeben oder ggf. eingesehen werden:

  • fittec Solutions GmbH: KI-gestützte Software fitAI für Supportanfragen und Austausch zur Mitgliedschaft /Mitgliederbetreuung, Bereitstellung Plattform für Kommunikation via Whatsapp
  • Facetronic UG (haftungsbeschränkt), Im Zukunftspark 4, 74076 Heilbronn: Zutrittssystem (auch biometrisch)
  • MySports App (Anbieter: Magicline): Verwaltung der Mitgliedschaften und Durchführung der Zahlung über weitere externe Dienstleister.
  • Zahlungsdienstleister Stripe Payments Europe Ltd (über fittec Solutions GmbH): Durchführung der Zahlung
  • ManyChat Inc.: Bereitstellung Plattform für Kommunikation via Whatsapp
  • Paypal
  • Kredikartenanbieter
  • Im Rahmen der IT-Betreuung kann der eingesetzte Dienstleister Zugriff auf Ihre Daten erhalten.

Wir haben, soweit notwendig, mit den Dienstleistern einen Auftragsverarbeitungsvertrag geschlossen, der den Schutz der Daten sicherstellt und eine unberechtigte Weitergabe an Dritte untersagt.

Datenübermittlung an ein Drittland oder eine internationale Organisation

Als Drittland sind Länder zu verstehen, in denen die DSGVO kein unmittelbar geltendes Recht ist. Dies umfasst grundsätzlich alle Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums.

Es findet eine Datenübermittlung an ein Drittland oder eine internationale Organisation statt. Berücksichtigt hierbei wird, dass entsprechend geeignete/angemessene Garantien vorhanden sind und Ihnen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Für Datenübermittlung in die USA gilt: Seit Juli 2023 existiert ein Angemessenheitsbeschluss der EU-Kommission (Data Privacy Framework), welches die USA als ein Drittland mit einem der EU vergleichbaren Datenschutzniveau ausweist. Der Angemessenheitsbeschluss kann nunmehr als Grundlage für Datenübermittlungen an zertifizierte Organisationen in den USA dienen.

Durch die Nutzung von Microsoft 365 können wir (trotz Einstellung der Server in EU/Deutschland) nicht ausschließen, dass ggf. eine Datenübermittlung an ein Drittland stattfindet.

Sollten Sie uns eine Supportanfrage per E-Mail senden wird, wie oben beschrieben, über fitAI der KI-Anbieter OpenAI genutzt.

Widerruf

Erfolgt die Verarbeitung aufgrund von Einwilligungen oder aufgrund des berechtigten Interesses, haben Sie jederzeit die Möglichkeit, der Nutzung Ihrer Daten für interne Zwecke mit Wirkung für die Zukunft zu widerrufen. Hierzu genügt es, eine entsprechende E-Mail an datenschutz@hellofit.de zu senden. Selbstverständlich haben Sie die Möglichkeit, Ihren Widerruf schriftlich auf postalischem Weg an die oben genannte Adresse zu richten bzw. telefonisch diesbezüglich mit uns Kontakt aufzunehmen.


Hinweis auf die jeweiligen Betroffenenrechte

Sie haben das Recht, von uns Auskunft über die von uns über Sie verarbeiteten Daten zu erhalten (Art. 15 DSGVO). Zudem können Sie verlangen, dass wir unrichtige personenbezogene Daten über Sie berichtigen (Art. 16 DSGVO). Sofern einschlägig, können Sie verlangen, dass die über Sie verarbeitete personenbezogene Daten gelöscht werden (Art. 17 DSGVO) bzw. dass die Verarbeitung eingeschränkt werden soll (Art. 18 DSGVO). Zudem haben Sie in bestimmten Fällen ein Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Auch können Sie unter bestimmten Umständen Widerspruch gegen die Verarbeitung einlegen (Art. 21 DSGVO).

Kontaktdaten des Datenschutzbeauftragten

Datenschutzkanzlei Lenz GmbH & Co. KG

Sven Lenz

Bahnhofstraße 50, D-87435 Kempten

Telefon: +49 831 930653-00

Bei Fragen zum Datenschutz oder weiteren datenschutzrechtlichen Anliegen können Sie gerne eine E-Mail an das Datenschutz-Team senden: datenschutz@hellofit.de

Hinweis auf Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Aufsichtsbehörde für den Datenschutz zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten nicht rechtmäßig erfolgt.

Die Anschrift der für uns zuständigen Aufsichtsbehörde lautet:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)

Promenade 27, 91522 Ansbach, Deutschland

Telefon: +49 981 53-1300

Telefax: +49 981 53-981300

Das Beschwerdeformular können Sie über folgenden Link öffnen: https://www.lda.bayern.de/de/beschwerde.html

Hinweis: Eine Beschwerde kann auch an jede Datenschutzaufsichtsbehörde innerhalb der EU gerichtet werden.

Änderung unserer Datenschutzhinweise

Wir behalten uns vor, unsere Datenschutzhinweise kurzfristig anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entsprechen.