Datenschutzerklärung

Martin Panhofer
c/o IP-Management #9526
Ludwig-Erhard-Straße 18, 20459 Hamburg
E-Mail: hallo@trainerplatz.de

TrainerPlatz ist eine Buchungs- und Verwaltungs-Plattform für Personal Trainer in Deutschland. Wir verarbeiten personenbezogene Daten in zwei Rollen:

• Trainer: Profilangaben, Klienten-Stammdaten, Termine, Rechnungen, Nachrichten — zur Erbringung der Plattform-Leistung (Vertrag).
• Klienten: Kontaktdaten, Trainings-Ziele, Termine, Nachrichten — auf Grundlage der Einwilligung beim Marketplace-Kontakt bzw. zur Vertragsdurchführung mit dem Trainer.

Wir geben keine Daten an Dritte zu Werbezwecken weiter und betreiben keinen Daten-Verkauf. Alle eingesetzten Auftragsverarbeiter sind unten einzeln gelistet.

Die App wird gehostet bei Vercel Inc., 440 N Barranca Avenue #4133, Covina, CA 91723, USA. Beim Aufruf werden technisch erforderliche Server-Logs erfasst (IP-Adresse, User-Agent, Referrer, Zeitstempel) zur Bereitstellung und Sicherheit des Dienstes. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an stabiler Bereitstellung). Mit Vercel besteht ein Auftragsverarbeitungsvertrag mit Standardvertragsklauseln gemäß Art. 46 DSGVO für die Drittlandübermittlung in die USA.

Alle Anwendungsdaten (Profile, Klienten, Termine, Nachrichten, Pakete, Rechnungen) sowie die Authentifizierung werden bei Supabase Inc. gespeichert. Die Datenverarbeitung erfolgt im EU-Rechenzentrum (Frankfurt). Mit Supabase besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für Trainer-Konten und Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) für die Klient-Anbindung über das Marketplace-Lead-Formular.

Bestätigungs-Mails, Magic-Links für Klienten, Termin-Erinnerungen und Rechnungen werden über Resend (EU-Region Irland, Resend Inc.) versendet. Verarbeitet werden E-Mail-Adresse, Empfänger-Name und Inhalt der Mitteilung. Mit Resend besteht ein Auftragsverarbeitungsvertrag gemäß Art. 28 DSGVO. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. a DSGVO (Einwilligung beim Marketplace-Kontakt).

Klienten erhalten bewusst kein klassisches Konto mit Passwort. Nach Annahme einer Anfrage durch den Trainer bekommt der Klient einen einmaligen Magic-Link per E-Mail, mit dem er Termine, Nachrichten und Rechnungen einsehen kann. Die Token sind zeitlich begrenzt und an einen Klient gebunden. Wir speichern hierzu nur die für die Zustellung notwendigen Daten (Token-Hash, Klient-ID, Ablaufzeit, Trainer-Zuordnung). Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Durchführung des Vertrags zwischen Klient und Trainer).

Wenn du als Klient über das Anfrageformular einen Trainer kontaktierst, übermitteln wir Vor- und Nachname, E-Mail-Adresse, optionale Telefonnummer, Wunsch-Paket sowie deine Nachricht an den ausgewählten Trainer. Du willigst dieser Übermittlung explizit per Häkchen ein, bevor das Formular abgeschickt werden kann. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Die Einwilligung ist für die Plattformnutzung freiwillig und kann jederzeit mit Wirkung für die Zukunft per Mail an hallo@trainerplatz.de widerrufen werden.

Trainer können freiwillig ihren Google Kalender mit TrainerPlatz verbinden, um Termine bidirektional zu synchronisieren. Der Verbindungsaufbau erfolgt über das OAuth-Verfahren von Google Ireland Ltd. mit dem Scope calendar.events. Es werden Kalender-IDs, Event-IDs und Event-Daten verarbeitet, die für die Synchronisation erforderlich sind. Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (ausdrückliche Einwilligung). Trainer können die Verbindung jederzeit unter Kalender → Google-Einstellungen → Trennen aufheben. Bei Trennung werden die Refresh-Tokens gelöscht. Mit Google besteht ein DPA gemäß Art. 28 DSGVO.

Wenn ein Trainer dem Browser-Banner zustimmt, sendet TrainerPlatz Push- Benachrichtigungen für Termin-Erinnerungen, Klient-Nachrichten und neue Anfragen. Wir speichern hierzu die Push-Subscription (Endpoint-URL, P256dh- und Auth-Key) und die Trainer-ID. Die eigentliche Zustellung erfolgt über die Push-Dienste der Browser-Hersteller (Mozilla, Google, Apple, Microsoft). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO. Du kannst Push jederzeit unter Profil → Konto → Benachrichtigungen sowie in den Browser- Einstellungen widerrufen.

Trainer-Standorte werden im Marketplace auf einer Karte dargestellt; bei der Adress-Eingabe im Trainer-Onboarding werden Adressvorschläge angezeigt. Beide Funktionen werden über Dienste der Google Ireland Ltd. (Gordon House, Barrow Street, Dublin 4, Irland) bereitgestellt. Beim Laden der Karte bzw. der Adressvorschläge werden die IP-Adresse des Endgeräts sowie technische Browser-Daten an Google übermittelt. Es wird kein Geo-Standort des Endgeräts abgefragt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer praktikablen Trainer-Suche). Eine Drittlandübermittlung in die USA erfolgt auf Basis der EU-Standardvertragsklauseln (Art. 46 DSGVO) sowie des EU-US Data Privacy Framework. Mit Google besteht ein Auftragsverarbeitungs- Vertrag gemäß Art. 28 DSGVO.

Die Übungs-Bibliothek im Trainer-Bereich zeigt Illustrationen aus der frei lizenzierten Quelle yuhonas/free-exercise-db(Lizenz: The Unlicense / Public Domain). Die Bild-Dateien sind seit Mai 2026 in unserem eigenen Supabase-Storage-Bucket exercise-images (EU-Region, Frankfurt) gespeichert. Beim Anzeigen einer Übung wird die IP-Adresse des Endgeräts ausschließlich an Supabase übermittelt — es findet kein Datenfluss an GitHub oder andere Drittanbieter für diese Bilder statt. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionalen Übungs-Bibliothek). Auftragsverarbeitung über den bestehenden AVV mit Supabase (siehe Abschnitt 4).

Wir setzen ausschließlich technisch notwendige Cookies und Browser-Storage für die Authentifizierung (Supabase-Auth-Session) und das Speichern der Push-Einwilligung. Es werden keine Tracking-, Werbe- oder Analyse-Cookies gesetzt. Rechtsgrundlage: § 25 Abs. 2 Nr. 2 TTDSG i.V.m. Art. 6 Abs. 1 lit. f DSGVO.

Die DNS-Verwaltung der Domain trainerplatz.de erfolgt bei Hetzner Online GmbH, Industriestraße 25, 91710 Gunzenhausen. Im Rahmen von DNS-Anfragen werden technisch notwendige Daten (IP-Adresse) verarbeitet. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

Wir speichern personenbezogene Daten so lange, wie sie für die jeweiligen Zwecke erforderlich sind:

• Trainer-Konto-Daten: bis zur Kontolöschung durch den Trainer.
• Klienten-Stammdaten: bis zur Beendigung des Trainings-Verhältnisses durch den Trainer, längstens 6 Monate nach letzter Aktivität.
• Rechnungs-Daten: 10 Jahre gemäß handels- und steuerrechtlicher Aufbewahrungspflicht (§§ 147 AO, 257 HGB).
• Magic-Link-Tokens: bis zum Ablauf, längstens 30 Tage.
• Marketplace-Lead-Daten ohne Annahme durch den Trainer: bis zu 90 Tage.
• Server-Logs (Vercel): in der Regel 30 Tage.

Soweit Datenverarbeitungen außerhalb der EU stattfinden (insbesondere Vercel, Google und Resend), erfolgt dies auf Grundlage der EU-Standardvertragsklauseln (Art. 46 DSGVO) bzw. eines Angemessenheitsbeschlusses (z. B. EU-US Data Privacy Framework, soweit anwendbar). Bei Resend (Plus Five Five Inc., San Francisco) wird der eigentliche E-Mail-Versand zwar über die EU-Region (Ireland) abgewickelt, Plattform-Backend-Daten (Account, Logs, Webhook-Events) werden jedoch in den USA verarbeitet. Supabase (Frankfurt, eu-central-1) und Hetzner (Deutschland) verarbeiten in der EU.

Du hast das Recht auf Auskunft (Art. 15 DSGVO), Berichtigung (Art. 16 DSGVO), Löschung (Art. 17 DSGVO), Einschränkung der Verarbeitung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO), Widerspruch gegen Verarbeitungen auf Grundlage berechtigter Interessen (Art. 21 DSGVO) sowie auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO). Es besteht ein Beschwerderecht bei einer Aufsichtsbehörde (Art. 77 DSGVO); für unseren Sitz zuständig ist der Hamburgische Beauftragte für Datenschutz und Informationsfreiheit.

Anfragen zu deinen Rechten richte bitte an: hallo@trainerplatz.de.

Wir setzen Transportverschlüsselung (TLS) für alle Verbindungen ein, speichern Passwörter ausschließlich gehasht (Supabase Auth) und schützen Datenbank-Zeilen über Row-Level-Security. Klient-Daten sind pro Trainer isoliert; Klienten sehen ausschließlich ihre eigenen Daten über zeitlich begrenzte Magic-Link-Tokens.

Wir können diese Datenschutzerklärung anpassen, wenn sich Dienste, Funktionen oder gesetzliche Vorgaben ändern. Die jeweils aktuelle Fassung ist unter app.trainerplatz.de/datenschutz abrufbar.