Datenschutzerklärung

1. Verantwortliche Person

Iris Seidel
Schwimmlehrerin
Ulmenstr. 4
90592 Schwarzenbruck
Deutschland
E-Mail: iris@euliris.de

2. Grundsätze der Datenverarbeitung

Ich verarbeite personenbezogene Daten ausschließlich zur Erbringung meiner Schwimmkurs-Dienstleistungen und nur im rechtlich zulässigen Umfang. Es werden keine Daten an Werbenetzwerke, soziale Netzwerke oder Analyse-Dienste übermittelt. Kein Tracking, kein Analytics, keine externen Ressourcen werden eingesetzt.

3. Verarbeitete personenbezogene Daten

3.1 Zugangsdaten (Kundenkonto)

Beim Anlegen eines Kundenkontos werden folgende Daten gespeichert:

• Name – Anzeigename, Kommunikation
• E-Mail-Adresse – Login, Buchungsbestätigungen und Kommunikation
• Passwort – ausschließlich als nicht-umkehrbarer bcrypt-Hash gespeichert; der Klartext ist nicht rekonstruierbar
• Rolle – Zugriffskontrolle (Kunde / Administrator)

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
Speicherdauer: bis zum Antrag auf Löschung.

Ein Konto kann auch durch mich im Auftrag des Kunden angelegt werden, z.\u00a0B. bei einer persönlichen Terminvereinbarung oder auf anderem direkten Kommunikationsweg. In diesem Fall wird ein einmaliges temporäres Passwort generiert und an die angegebene E-Mail-Adresse gesendet. Der Kunde wird per E-Mail über die Kontoerstellung informiert und kann das Passwort nach dem ersten Login selbst ändern.

3.2 Kundendaten

Zur Durchführung der Buchungen und zur Rechnungsstellung werden gespeichert:

• Vor- und Nachname
• E-Mail-Adresse
• Telefonnummer (für Rückfragen)
• Adresse – für die Rechnungsstellung

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: Adresse 10 Jahre gemäß § 147 AO; übrige Daten bis zum Löschantrag.

3.3 Teilnehmerdaten

Für Kinder oder weitere Kursteilnehmer werden gespeichert:

• Vor- und Nachname
• Geburtsdatum (optional, zur Alterskontrolle)
• Besonderheiten/Flags – können Gesundheitsdaten nach Art. 9 DSGVO enthalten; Zugriff nur durch autorisierte Nutzer
• Hinweise für die Schwimmlehrerin

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO; soweit Gesundheitsdaten betroffen: Art. 9 Abs. 2 lit. a DSGVO (ausdrückliche Einwilligung).
Speicherdauer: bis zum Löschantrag.

3.4 Termin- und Buchungsdaten

Gebuchte und vergangene Termine werden gespeichert und als Archiv vorgehalten.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: unbegrenzt als Archiv.

3.5 Rechnungsdaten

Rechnungen werden als PDF im privaten (nicht öffentlich zugänglichen) Speicher abgelegt. Der Abruf erfolgt ausschließlich über authentifizierte API-Endpunkte.

Rechtsgrundlage: Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung).
Speicherdauer: 10 Jahre gemäß § 147 AO.

3.6 Protokolldaten (Audit-Log)

Zur Sicherheit werden bestimmte Systemereignisse protokolliert. Dabei werden IP-Adresse und Browser-Kennung gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse).
Speicherdauer: 12 Monate.

3.7 E-Mail-Versandprotokoll

Für jede versendete E-Mail wird die Empfänger-E-Mail-Adresse sowie der Versandstatus gespeichert. Der Inhalt der E-Mail wird nicht gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.
Speicherdauer: 12 Monate.

4. Hosting und Serverstandort

Diese Website und alle zugehörigen Dienste werden von Kuhmunity IT, M. Seidel betrieben und gehostet. Die Server stehen ausschließlich in Deutschland. Es werden keine Cloud-Dienste außerhalb der EU eingesetzt. Kuhmunity IT handelt als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

5. Weitergabe von Daten an Dritte

Daten werden nicht an Dritte zu Werbe- oder sonstigen Zwecken weitergegeben. Lediglich für den E-Mail-Versand werden Name und E-Mail-Adresse an den SMTP-Dienst mail.kuhmunity.org übermittelt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

6. Technische und organisatorische Maßnahmen

• Datenübertragung ausschließlich per HTTPS (TLS), HSTS aktiviert
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert
• PDF-Dateien und App-Releases im privaten Speicher ohne direkten URL-Zugriff
• API-Authentifizierung über Bearer-Token (Laravel Sanctum)
• Keine öffentlich erreichbaren Administrationsoberflächen

7. Cookies und Session

Diese Website setzt keine Tracking-Cookies. Lediglich ein technisch notwendiges Session-Cookie wird für den CSRF-Schutz gesetzt. Es enthält keine personenbezogenen Daten und wird beim Schließen des Browsers gelöscht.

Der Authentifizierungstoken des Kundenbereichs wird im sessionStorage des Browsers gespeichert – nicht als Cookie – und ist nach dem Schließen des Browser-Tabs nicht mehr verfügbar.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.

8. Ihre Rechte als betroffene Person

Sie haben gegenüber mir folgende Rechte:

• Auskunft (Art. 15 DSGVO)
• Berichtigung (Art. 16 DSGVO)
• Löschung (Art. 17 DSGVO)
• Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Datenübertragbarkeit (Art. 20 DSGVO)
• Widerspruch (Art. 21 DSGVO)
• Widerruf einer Einwilligung (Art. 7 Abs. 3 DSGVO)

Zur Ausübung Ihrer Rechte: iris@euliris.de

9. Beschwerderecht bei der Aufsichtsbehörde

Sie haben das Recht, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Informationen: www.bfdi.bund.de

10. Aktualität und Änderungen

Diese Datenschutzerklärung gilt ab März 2026. Änderungen behalten wir uns vor.