Datenschutzerklärung

Stand: 26.05.2026

1. Verantwortlicher

Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

2. Allgemeines zur Datenverarbeitung

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Website sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung erfolgt regelmäßig nur nach Einwilligung der Nutzer (Art. 6 Abs. 1 lit. a DSGVO), zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO), zur Erfüllung rechtlicher Pflichten (Art. 6 Abs. 1 lit. c DSGVO) oder auf Basis unserer berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3. Hosting und Server-Logfiles

Wir hosten die Inhalte unserer Website extern bei einem Dienstleister, der die Daten in unserem Auftrag verarbeitet (Auftragsverarbeitung gemäß Art. 28 DSGVO):

Das externe Hosting erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots (Art. 6 Abs. 1 lit. f DSGVO). Beim Aufruf der Website erhebt der Server automatisch sogenannte Server-Logfiles, die dein Browser automatisch übermittelt:

• Browsertyp und Browserversion
• verwendetes Betriebssystem
• Referrer-URL (die zuvor besuchte Seite)
• Hostname des zugreifenden Rechners / IP-Adresse
• Datum und Uhrzeit der Serveranfrage

Diese Daten werden nicht mit anderen Datenquellen zusammengeführt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO; unser berechtigtes Interesse liegt in der technisch fehlerfreien Darstellung und der Sicherheit unserer Website.

4. Cookies und Einwilligungsverwaltung

Wir setzen Cookies und vergleichbare Technologien ein. Cookies sind kleine Textdateien, die auf deinem Endgerät gespeichert werden. Wir unterscheiden folgende Kategorien:

Technisch notwendige Cookies

Diese sind für den Betrieb der Website erforderlich und werden ohne deine Einwilligung gesetzt (Art. 6 Abs. 1 lit. f DSGVO bzw. § 25 Abs. 2 TDDDG). Dazu gehören:

• Sitzungs-Cookie (PHP-Session) – hält deine Anmeldung und Formulareingaben während des Besuchs; wird beim Schließen des Browsers bzw. nach Ablauf der Sitzung gelöscht.
• CSRF-Token – schützt Formulare vor Missbrauch (Cross-Site-Request-Forgery).
• „Angemeldet bleiben“ (nakos_remember) – wird nur gesetzt, wenn du diese Option bei der Anmeldung aktivierst, und hält dich über die Sitzung hinaus eingeloggt.
• Cookie-Einwilligung (nakos_consent) – speichert deine getroffene Cookie-Auswahl, damit wir sie nicht erneut abfragen.

Präferenz-Cookies

Speichern Komfort-Einstellungen wie das von dir gewählte Design (Hell-/Dunkelmodus). Sie werden nur mit deiner Einwilligung dauerhaft gespeichert.

Statistik- und Marketing-Cookies

Diese Kategorien sind in unserer Einwilligungsverwaltung vorgesehen, werden derzeit jedoch nicht aktiv genutzt. Sollten wir künftig entsprechende Dienste einsetzen, geschieht dies ausschließlich nach deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG).

Du kannst deine Einwilligung jederzeit über den Link „Cookie-Einstellungen“ im Seitenfuß mit Wirkung für die Zukunft ändern oder widerrufen. Technisch notwendige Cookies lassen sich nicht abwählen.

5. Registrierung und Kundenkonto

Du kannst auf unserer Website ein Kundenkonto anlegen. Dabei verarbeiten wir die von dir angegebenen Daten (insbesondere Vor- und Nachname, E-Mail-Adresse, ein von dir gewähltes Passwort in verschlüsselter Form sowie ggf. Telefonnummer und Anschrift). Zur Bestätigung deiner E-Mail-Adresse senden wir dir eine Verifizierungs-E-Mail. Die Verarbeitung erfolgt zur Bereitstellung des Nutzerkontos und zur Vertragsabwicklung gemäß Art. 6 Abs. 1 lit. b DSGVO. Dein Passwort wird ausschließlich als kryptografischer Hash gespeichert und ist für uns nicht im Klartext einsehbar.

Im Konto kannst du zusätzlich speichern:

• Minderjährige Personen – Vor- und Nachname deiner Kinder/Mündel, um Buchungen für sie schneller anzulegen und die Einverständniserklärungen (EmT) automatisch zu generieren.
• Notfall-Kontakte – beschriftete Telefonnummern, die in der EmT auftauchen.
• Anschrift – wird ebenfalls in die EmT übernommen und für Rechnungen verwendet.
• Benachrichtigungs-Präferenz – ob „weiche" Updates per E-Mail oder per Push (s. u.) zugestellt werden sollen.
• Push-Endpunkt (optional) – siehe Abschnitt „Push-Benachrichtigungen".

Im Bereich Einstellungen → Konto löschen kannst du dein Konto jederzeit sofort und unwiderruflich selbst löschen. Wir entfernen dabei alle kontobezogenen Daten (Profil, Kinder, Notfall-Kontakte, Push-Endpunkte, Reset-Tokens, Anmeldedaten). Aus rechtlichen Gründen (vor allem Aufbewahrungsfristen nach § 147 AO, § 257 HGB) bleiben bereits getätigte Buchungen und die zugehörigen Rechnungen mit dem ursprünglich erfassten Personen-Snapshot erhalten – sind aber nach der Löschung nicht mehr mit einem aktiven Konto verknüpft.

5a. Technischer Support („Support-View")

Wenn du uns wegen eines technischen Problems mit deinem Konto kontaktierst, können dazu berechtigte Mitglieder unseres Teams – ausschließlich nach interner Freigabe und über einen besonders gesicherten Zugang („Support-View") – kurzzeitig auf dein Konto zugreifen, um exakt die Ansicht zu sehen, die du selbst hast. Dabei wird kein Passwort von uns eingegeben, verwendet oder einsehbar; das System öffnet die Sitzung serverseitig über einen signierten, CSRF-geschützten Vorgang, ohne dein Passwort jemals im Klartext zu sehen.

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags – wir schulden dir einen funktionsfähigen Zugang zu deinen gebuchten Leistungen) in Verbindung mit Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an effizientem technischem Support). Eine Datenverarbeitung über das hinaus, was du selbst in deinem Konto sehen kannst, findet während der Sitzung nicht statt.

Schutzmaßnahmen. Wir setzen zur Absicherung insbesondere die folgenden Maßnahmen nach Art. 32 DSGVO um:

• Audit-Log: jede Sitzung wird mit Zeitstempel, Mitarbeiter-ID, Konto-ID, Supportgrund und Quell-IP unveränderlich protokolliert. Du kannst eine Kopie dieses Protokolls jederzeit im Rahmen deines Auskunftsrechts nach Art. 15 DSGVO anfordern.
• Hinweis-E-Mails: du erhältst je eine E-Mail beim Start und am Ende einer Sitzung.
• Sichtbarer Hinweis-Banner: wenn du dich während einer aktiven Support-Sitzung selbst einloggst, erscheint oben auf jeder Seite ein gut sichtbarer Banner.
• Sperren während der Sitzung: Änderungen des Passworts, das Anlegen eines „Angemeldet bleiben"-Cookies im Namen des Kontoinhabers sowie die Konto-Löschung sind technisch ausgeschlossen, solange die Sitzung läuft.
• Berechtigungs-Kontrolle: das tatsächliche Starten einer Support-Sitzung ist ausschließlich der Rolle „Web-Team" vorbehalten — andere Mitarbeiter:innen können das Konto zwar einsehen, aber selbst keine Sitzung öffnen. Jede Rollenvergabe ist ebenfalls protokolliert.
• Pflicht-Begründung: jede Sitzung erfordert eine in Textform dokumentierte Begründung, die ins Audit-Log eingeht.

Du kannst dem Zugriff nach Art. 21 DSGVO jederzeit widersprechen. In diesem Fall können wir dir technischen Support möglicherweise nur eingeschränkt anbieten; eine inhaltliche Bearbeitung deiner Anliegen ist unabhängig davon stets über die regulären Kontaktwege möglich.

6. Buchungen und Vertragsabwicklung

Für die Buchung von Trainingsterminen und Karten verarbeiten wir die zur Durchführung erforderlichen Daten (Name, Kontaktdaten, gewählter Plan, Termin(e), Rechnungsnummer, Zahlungsstatus). Buchungen sind sowohl mit Kundenkonto als auch als Gastbuchung ohne Konto möglich. Bei Gastbuchungen gibt es keinen eigenen Login; spätere Änderungen laufen direkt über das Team. Bestehende Gast-Buchungen können später über die Funktion „Alte Buchungen hinzufügen" (E-Mail-Abgleich) einem Konto zugeordnet werden. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Rechnungsrelevante Daten bewahren wir im Rahmen der gesetzlichen Aufbewahrungsfristen (insb. § 147 AO, § 257 HGB) auf.

Gruppen- und Mehrpersonen-Buchungen. Bei einer Gruppenbuchung speichern wir zusätzlich die Daten weiterer Teilnehmer:innen (Name, bei registrierten Personen auch ID + E-Mail; bei Minderjährigen Name und – sofern angelegt – die Verknüpfung zur gespeicherten Person im Konto). Dies dient der Kapazitätsplanung pro Kurs und der Erstellung der pro Person individuellen Einverständniserklärung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO.

Einverständniserklärung für Minderjährige (EmT). Wird ein Trainingstermin für eine minderjährige Person gebucht, generieren wir aus den im Konto hinterlegten Daten (Buchender, Anschrift, Notfall-Kontakte, Name des Kindes) ein PDF-Formular, das den Teilnahmebedingungen zugrunde liegt und vor Ort unterschrieben mitzubringen ist. Diese personenbezogenen Daten werden in das PDF eingebettet und der bestätigenden E-Mail beigelegt; sie verlassen unseren Server nicht ungesichert.

7. Zahlungsabwicklung über PayPal

Zur Bezahlung bieten wir PayPal an. Anbieter ist die PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxemburg. Wählst du PayPal, werden die zur Zahlungsabwicklung erforderlichen Daten an PayPal übermittelt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) sowie Art. 6 Abs. 1 lit. a DSGVO, soweit du in die Verarbeitung eingewilligt hast. Eine etwaige Datenübermittlung in die USA wird auf die Standardvertragsklauseln der EU-Kommission gestützt (Details: paypal.com/…/pocpsa-full). Weitere Informationen findest du in der Datenschutzerklärung von PayPal unter paypal.com.

8. Kontaktaufnahme

Wenn du uns über das Kontaktformular oder per E-Mail kontaktierst, verarbeiten wir die von dir mitgeteilten Daten (z. B. Name, E-Mail-Adresse, Telefonnummer, Nachricht), um deine Anfrage zu bearbeiten. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO bei vertragsbezogenen Anfragen, im Übrigen unser berechtigtes Interesse an der Beantwortung gemäß Art. 6 Abs. 1 lit. f DSGVO.

Anfragen, die du über das separate Formular „Website-Support" (https://nakos-athletikcenter.de/website-support) absendest, werden zum technischen Betrieb der Website verarbeitet — Empfänger ist der Entwickler dieser Seite. Die verarbeiteten Daten (Name, E-Mail, optional Telefon, Nachricht) entsprechen dem regulären Kontaktformular. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am technischen Betrieb und an der Verbesserung des Online-Angebots).

Anfragen aus beiden Formularen werden nach 7 Tagen Inaktivität automatisch geschlossen und nach weiteren 7 Tagen vollständig gelöscht (Verlauf + Antworten); jeweils mit Hinweis-E-Mail an dich.

9. E-Mail-Versand

Wir versenden transaktionsbezogene E-Mails (z. B. Kontobestätigung, Passwort-Zurücksetzung, Buchungs- und Rechnungsbestätigungen) über einen E-Mail-/SMTP-Dienstleister, der als Auftragsverarbeiter für uns tätig ist. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO. Diese Mails erhältst du unabhängig von deiner gewählten Benachrichtigungs-Präferenz, da sie vertraglich/rechtlich erforderlich sind.

9a. Push-Benachrichtigungen (Web Push)

Wenn du die Website als App auf deinem Endgerät installiert (Home-Screen) und „Push" als Benachrichtigungs-Kanal gewählt hast, fragt dein Browser eine Berechtigung an und erzeugt einen anonymisierten Push-Endpunkt (URL beim Push-Dienst deines Browser-Herstellers, z. B. Google FCM für Chrome, Mozilla autopush für Firefox, Apple Push für Safari) sowie zwei Verschlüsselungs- Schlüssel (P256DH + Auth-Secret). Wir speichern Endpunkt + Schlüssel verschlüsselt in unserer Datenbank, um dir kurze Hinweise (z. B. „Termin verschoben", „Neue Nachricht") zustellen zu können. Inhalte der Benachrichtigung werden mit deinem persönlichen Schlüssel verschlüsselt, bevor sie an den Push-Dienst übergeben werden – der Push-Dienst sieht den Klartext nicht.

Rechtsgrundlage ist deine ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO, § 25 Abs. 1 TDDDG), die du erteilst, indem du im Browser-Dialog „Erlauben" wählst. Du kannst die Einwilligung jederzeit widerrufen: entweder im Kundenkonto unter Einstellungen → Benachrichtigungen auf „E-Mail" zurückwechseln (löscht den Push-Endpunkt auf unserer Seite) oder direkt in deinen Browser-/Betriebssystem-Einstellungen die Berechtigung entziehen.

9b. Installierbare App (Progressive Web App)

Unsere Website kann als installierbare App dem Startbildschirm hinzugefügt werden. Dazu liefert der Browser eine Manifest-Datei aus (/manifest.webmanifest), die Icon, Anzeigename und Start-URL enthält. Es werden dabei keine personenbezogenen Daten an uns übertragen. Ein Service Worker (/sw.js) wird im Hintergrund deines Browsers registriert und cacht statische Inhalte (Bilder, CSS, JS) lokal auf deinem Gerät, damit die App auch offline grundlegend funktioniert (Offline-Hinweis statt Fehlerseite). Der Service Worker selbst sendet keine Daten an uns.

10. Speicherdauer

Wir verarbeiten und speichern personenbezogene Daten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungsfristen dies vorsehen. Danach werden die Daten gelöscht oder gesperrt.

11. Deine Rechte

Dir stehen gegenüber uns folgende Rechte hinsichtlich deiner personenbezogenen Daten zu:

• Recht auf Auskunft (Art. 15 DSGVO)
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO)
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
• Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung deiner Rechte genügt eine formlose Nachricht an die oben genannten Kontaktdaten.

12. Beschwerderecht bei der Aufsichtsbehörde

Unbeschadet anderer Rechtsbehelfe steht dir ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde zu. Für uns zuständig ist der/die Sächsische Datenschutzbeauftragte, Devrientstraße 5, 01067 Dresden.

13. SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennst du am „https://“ in der Adresszeile deines Browsers.