Rechtliches

Datenschutzerklärung

Informationen zum Umgang mit deinen personenbezogenen Daten

1. Verantwortliche Stelle

Verantwortlich für die Datenverarbeitung auf dieser Website ist:

Daniela Speiser
Weststraße 14
87561 Oberstdorf
E-Mail: info@mandala-oberstdorf.de
Telefon: +49 8322 183 96 62

Die Benennung eines Datenschutzbeauftragten ist nicht erforderlich, da weniger als 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind (§ 38 BDSG).

2. Welche Daten werden erhoben

Bei der Nutzung unserer Website und unserer Dienste erheben wir folgende personenbezogene Daten:

Registrierung und Benutzerkonto

Vor- und Nachname
E-Mail-Adresse
Telefonnummer (optional)
Passwort (verschlüsselt gespeichert)

Profil- und Rechnungsdaten

Geburtsdatum (sofern angegeben)
Rechnungsadresse (Straße, PLZ, Ort, Land — für Belege)
Profilbild (sofern hochgeladen)
Angaben zur Yoga-Erfahrung sowie „Wie hast du von uns erfahren?“ (freiwillig)

Buchung von Klassen und Workshops

Buchungsdaten (Klasse, Datum, Uhrzeit)
Teilnahmestatus und -historie
Zehnerkarten-Nutzung und Guthaben

Eine Buchung ist auch als Gast ohne Benutzerkonto möglich (Gast-Checkout). Dabei erheben wir Name und E-Mail-Adresse zur Abwicklung der jeweiligen Buchung.

Zahlungsdaten

Zahlungsinformationen bei Online-Zahlung (werden direkt von Stripe verarbeitet)
Zahlungsstatus und Transaktionsreferenzen

Gutscheine

Name und E-Mail-Adresse der schenkenden Person
Name und E-Mail-Adresse der beschenkten Person sowie eine optionale persönliche Nachricht

Einwilligungen und Kommunikation

Newsletter-/Werbe-Einwilligung samt Zeitpunkt der Erteilung bzw. des Widerrufs
Zustimmung zu AGB und Datenschutzerklärung (mit Zeitstempel)

Interne Notizen

Das Studio kann zu einem Konto interne Notizen hinterlegen (z. B. organisatorische Hinweise). Diese sind ausschließlich für das Studio-Team sichtbar.

Technische Daten

IP-Adresse — diese wird ausschließlich in den Server-Logs unserer Hosting-Dienstleister (Vercel, Supabase) verarbeitet; in der Anwendung selbst speichern wir keine IP-Adressen.
Browsertyp und -version
Datum und Uhrzeit des Zugriffs

3. Rechtsgrundlage der Datenverarbeitung

Die Verarbeitung personenbezogener Daten erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO):

Art. 6 Abs. 1 lit. a DSGVO (Einwilligung): Wenn du uns deine ausdrückliche Einwilligung zur Verarbeitung gegeben hast.
Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung): Für die Durchführung von Buchungen, Zahlungen und die Bereitstellung unserer Dienstleistungen.
Art. 6 Abs. 1 lit. c DSGVO (Rechtliche Verpflichtung): Zur Erfüllung gesetzlicher Aufbewahrungspflichten (z.B. steuerrechtliche Vorgaben).
Art. 6 Abs. 1 lit. f DSGVO (Berechtigtes Interesse): Für den sicheren Betrieb der Website, die Verhinderung von Missbrauch sowie die Pflege bestehender Kundenbeziehungen (siehe Abschnitt 7).

4. Datenverarbeitung durch Dritte

Für den Betrieb dieser Website und die Erbringung unserer Dienstleistungen setzen wir folgende Drittanbieter ein:

Supabase (Datenbank & Authentifizierung)

Supabase Inc., San Francisco, USA. Speichert Benutzerdaten, Buchungen und verwaltet die Anmeldung. Die Daten werden ausschließlich in der EU-Region (Frankfurt am Main, eu-central-1) gespeichert und verarbeitet; eine Datenspeicherung außerhalb der EU findet nicht statt. Da der Anbieter in den USA ansässig ist, erfolgt eine etwaige Datenübermittlung in die USA auf Grundlage von EU-Standardvertragsklauseln (Standard Contractual Clauses, SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO; zudem besteht ein Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO.

Stripe (Zahlungsabwicklung)

Stripe Inc., San Francisco, USA / Stripe Payments Europe Ltd., Dublin, Irland. Verarbeitet Online-Zahlungen (Kreditkarte, PayPal, SEPA-Lastschrift). Zahlungsdaten werden direkt von Stripe verarbeitet und nicht auf unseren Servern gespeichert. Stripe ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Datenschutzhinweise: stripe.com/de/privacy

Resend (E-Mail-Versand)

Resend Inc., San Francisco, USA. Versand von Buchungsbestätigungen, Stornierungsbenachrichtigungen und Erinnerungen. Die Datenübertragung erfolgt auf Grundlage von EU-Standardvertragsklauseln.

Vercel (Website-Hosting)

Vercel Inc., San Francisco, USA. Hosting und Auslieferung der Website. Serverseitig werden technische Zugriffsdaten verarbeitet. Vercel ist unter dem EU-US Data Privacy Framework zertifiziert; ergänzend bestehen EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO. Datenschutzhinweise: vercel.com/legal/privacy-policy

Sentry (Fehler- & Performance-Monitoring)

Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA. Erfasst technische Fehlermeldungen und Performance-Daten der Anwendung, damit Störungen schnell erkannt und behoben werden können. Die Daten werden in der EU-Datenregion (Frankfurt am Main) gespeichert. Personenbezogene Daten (Name, E-Mail, Telefonnummer) sowie Zahlungsangaben werden bereits vor der Übertragung automatisch entfernt; als Nutzerkennung dient ausschließlich eine pseudonyme Kennung. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Stabilität und Sicherheit des Systems). Eine etwaige Datenübermittlung in die USA erfolgt auf Grundlage des EU-US Data Privacy Framework, unter dem Sentry (Functional Software, Inc.) zertifiziert ist, ergänzt um EU-Standardvertragsklauseln (SCC) gemäß Art. 46 Abs. 2 lit. c DSGVO; zudem besteht ein Auftragsverarbeitungsvertrag (DPA) nach Art. 28 DSGVO. Datenschutzhinweise:

5. Cookies

Diese Website verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung (Anmeldung und Sitzungsverwaltung). Sie sind für den Betrieb der Website unbedingt erforderlich und bedürfen daher keiner Einwilligung (§ 25 Abs. 2 Nr. 2 TDDDG).

Die Anmelde-Cookies unseres Authentifizierungs-Dienstes (Supabase) sind persistent und haben eine maximale Laufzeit von bis zu 400 Tagen. Sie werden bei der Abmeldung bzw. bei Ablauf der Sitzung gelöscht und ausschließlich verschlüsselt übertragen (Secure).

Wir verwenden keine Tracking-Cookies, kein Google Analytics und keine sonstigen Analyse- oder Werbetools. Es findet kein Tracking deines Nutzungsverhaltens statt.

6. Speicherdauer

Personenbezogene Daten werden nur so lange gespeichert, wie dies für die Erfüllung des jeweiligen Zwecks erforderlich ist:

Benutzerkonto: Daten werden gespeichert, solange dein Konto aktiv ist. Nach Löschung des Kontos werden die Daten unverzüglich entfernt, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Buchungsdaten: Werden für die Dauer der Geschäftsbeziehung und darüber hinaus gemäß steuerrechtlicher Aufbewahrungsfristen (10 Jahre gemäß § 147 AO) gespeichert.
Zahlungsdaten: Transaktionsdaten werden gemäß handelsrechtlicher Aufbewahrungsfristen (6 Jahre gemäß § 257 HGB) gespeichert.
Nachrichten- und Erinnerungsdaten: Versendete Benachrichtigungen und zugehörige Protokolle werden gelöscht, sobald sie für den jeweiligen Zweck nicht mehr erforderlich sind.
Technische Zugriffsdaten (Server-Logs): Werden von unseren Hosting-Dienstleistern (Vercel, Supabase) verarbeitet und nach deren jeweiligen Aufbewahrungsrichtlinien gelöscht; eine Speicherung in der Anwendung selbst findet nicht statt.

7. Automatisierte Verarbeitung und Profiling

Erinnerungs- und Tipp-E-Mails (Bestandskunden)

Als bestehende Kundin oder bestehender Kunde erhältst du von uns gelegentlich E-Mails mit Tipps und Erinnerungen rund um dein Yoga-Angebot (z. B. unsere Willkommens-Serie). Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO in Verbindung mit § 7 Abs. 3 UWG (Pflege bestehender Kundenbeziehungen). Du kannst dieser Verarbeitung jederzeit widersprechen (Art. 21 Abs. 2 DSGVO) — über den Abmeldelink am Ende jeder dieser E-Mails, über die Seite /abmelden oder in deinen Konto-Einstellungen. Danach erhältst du keine weiteren solchen E-Mails; transaktionale Nachrichten zu deinen Buchungen (Bestätigungen, Stornierungen, Terminänderungen) bleiben davon unberührt.

Kundensegmentierung (Profiling)

Zur Auswahl relevanter Inhalte ordnen wir Konten anhand der Buchungsaktivität einfachen Segmenten zu (z. B. „neu“, „aktiv“, „längere Zeit inaktiv“). Dies stellt Profiling im Sinne von Art. 4 Nr. 4 DSGVO dar, dient ausschließlich der bedarfsgerechten Ansprache und hat keine rechtliche Wirkung dir gegenüber. Auch hier gilt dein Widerspruchsrecht nach Art. 21 DSGVO.

Automatisierte No-Show-Erfassung

Erscheinst du nicht zu einer gebuchten Klasse und checkst nicht ein, markiert das System die Buchung nach Kursende automatisch als „nicht erschienen“ (No-Show). Sofern für das Studio aktiviert, kann dabei eine Einheit deiner Zehnerkarte verfallen. Diese automatisierte Verarbeitung erfolgt zur Durchführung des Vertrags (Art. 22 Abs. 2 lit. a DSGVO); die konkreten Folgen sind in unseren AGB geregelt. Bei Fragen kannst du dich jederzeit an uns wenden (Recht auf menschliches Eingreifen).

8. Datenherkunft (Art. 14 DSGVO)

In bestimmten Fällen verarbeiten wir Daten, die nicht direkt bei dir erhoben wurden:

Umzug von Eversports: Für Kundinnen und Kunden, die zuvor unser früheres Buchungssystem (Eversports) genutzt haben, haben wir Stammdaten (Name, E-Mail-Adresse, Buchungshistorie) aus dem dortigen Export übernommen, um das Konto fortzuführen. Rechtsgrundlage: Art. 6 Abs. 1 lit. b und lit. f DSGVO.
Gutscheine: Wenn dir jemand einen Gutschein schenkt, erhalten wir deinen Namen und deine E-Mail-Adresse von der schenkenden Person, um dir den Gutschein zuzustellen. Wir verarbeiten diese Daten ausschließlich zu diesem Zweck (Art. 6 Abs. 1 lit. b und lit. f DSGVO).

9. Deine Rechte

Als betroffene Person hast du gemäß DSGVO folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO): Du kannst jederzeit Auskunft über die von uns gespeicherten personenbezogenen Daten verlangen.
Recht auf Berichtigung (Art. 16 DSGVO): Du hast das Recht, unrichtige Daten berichtigen zu lassen.
Recht auf Löschung (Art. 17 DSGVO): Du kannst die Löschung deiner Daten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Du kannst die Einschränkung der Verarbeitung deiner Daten verlangen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Du hast das Recht, deine Daten in einem gängigen, maschinenlesbaren Format zu erhalten.
Widerspruchsrecht (Art. 21 DSGVO): Du kannst der Verarbeitung deiner Daten jederzeit widersprechen, sofern die Verarbeitung auf berechtigtem Interesse beruht. Dem Erhalt von Werbe- und Erinnerungs-E-Mails kannst du jederzeit und ohne Angabe von Gründen widersprechen — am einfachsten über den Abmeldelink in der jeweiligen E-Mail oder über die Seite /abmelden.
Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO): Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.

Zur Ausübung deiner Rechte wende dich bitte an: info@mandala-oberstdorf.de

10. Beschwerderecht bei einer Aufsichtsbehörde

Du hast das Recht, dich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung deiner personenbezogenen Daten zu beschweren. Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach
www.lda.bayern.de

Version 1.3 · Stand: 17. Juni 2026. Diese Datenschutzerklärung kann bei Bedarf aktualisiert werden. Die aktuelle Version ist stets auf dieser Seite abrufbar.