Body Language EMS StudioMitglieder-Login

Datenschutzerklärung

nach Art. 13, 9 DSGVO — BL - GmbH · Stand: 18.06.2026

Wir nehmen den Schutz deiner personenbezogenen Daten ernst. Diese Erklärung informiert dich darüber, welche Daten wir verarbeiten, zu welchem Zweck, auf welcher Rechtsgrundlage und welche Rechte du hast — insbesondere im Hinblick auf deine Gesundheitsdaten (Art. 9 DSGVO).

1. Verantwortlicher

Verantwortlich für die Datenverarbeitung im Sinne der DSGVO ist:

BL - GmbH
Geschäftsführer: Alexander Marco George
Zehnthofstraße 42
52349 Düren
Telefon: 02421 70 60 250
E-Mail: hello@bl-ems.de
Web: www.bl-ems.de

2. Welche Daten wir verarbeiten

2.1 Allgemeine Daten
  • Stammdaten: Name, Adresse, Geburtsdatum, Telefon, E-Mail
  • Vertragsdaten: Tarif, Laufzeit, Einheitenkontingent, Buchungshistorie
  • Zahlungsdaten: IBAN, SEPA-Mandatsdaten (verarbeitet über GoCardless SAS)
  • Kommunikationsdaten: Korrespondenz, Termin-Erinnerungen, App-Nachrichten

2.2 Gesundheitsdaten (besondere Kategorie nach Art. 9 DSGVO)
  • Anamnese-Angaben: Vorerkrankungen, Medikamente, Operationen, Allergien
  • Risikofaktoren und Kontraindikationen für EMS-Training
  • Ärztliche Unbedenklichkeitsbescheinigungen (sofern vorgelegt)
  • Trainingsbezogene Werte: Belastungsempfinden, Trainingsfortschritt
  • Optional: Körperanalyse-Werte (z. B. InBody)
  • Optional: Schwangerschaftsangaben

3. Zweck und Rechtsgrundlage der Verarbeitung

3.1 Vertragsdurchführung (Art. 6 Abs. 1 lit. b DSGVO)

Stamm-, Vertrags-, Zahlungs- und Kommunikationsdaten verarbeiten wir, um den Mitgliedschaftsvertrag zu erfüllen — insbesondere zur Buchungsverwaltung, Beitragseinzug und Korrespondenz.


3.2 Verarbeitung von Gesundheitsdaten (Art. 9 Abs. 2 lit. a DSGVO)

Deine Gesundheitsdaten verarbeiten wir ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung. Die Verarbeitung dient der sicheren Trainingsbetreuung, der Identifikation von Kontraindikationen und der individuellen Trainingsplanung. Ohne diese Einwilligung kann ein EMS-Training aus Sicherheitsgründen nicht stattfinden.


3.3 Rechtliche Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO)

Bestimmte Daten (insbesondere Buchungs- und Zahlungsdaten) verarbeiten wir aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten.


3.4 Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO)

Soweit erforderlich, verarbeiten wir Daten zur Wahrung berechtigter Interessen, etwa zur IT-Sicherheit, zur Geltendmachung von Rechtsansprüchen oder zur direkten Kundenkommunikation in Bezug auf bestehende Verträge.

4. Empfänger und Auftragsverarbeiter

Wir geben deine Daten nur an folgende Empfänger weiter, soweit dies für die Vertragsdurchführung erforderlich ist:
  • Mitglieder-App bzw. Online-Portal des Studios — Studio- und Mitgliederverwaltung sowie Buchungsfunktionen (Auftragsverarbeitung gemäß Art. 28 DSGVO)
  • GoCardless SAS, Paris — Zahlungsdienstleister für SEPA-Lastschriften (Mitgliedsbeiträge)
  • Solaris SE — Bankdienstleistungen im Rahmen des SEPA-Einzugs
  • Steuerberater und Buchhaltungsdienstleister
  • IT-Dienstleister und Hosting-Anbieter (innerhalb der EU)

Mit allen Auftragsverarbeitern bestehen Verträge gemäß Art. 28 DSGVO. Eine Datenübertragung in Drittländer (außerhalb EU/EWR) findet nicht statt.

5. Speicherdauer

  • Vertragsdaten: für die Dauer der Mitgliedschaft sowie 10 Jahre nach Vertragsende (handels- und steuerrechtliche Aufbewahrung)
  • Gesundheitsdaten: bis zum Widerruf der Einwilligung, spätestens jedoch 3 Jahre nach Vertragsende, sofern keine längeren gesetzlichen Aufbewahrungspflichten bestehen
  • Kommunikationsdaten: bis zu 3 Jahre nach letztem Kontakt
  • Bewerbungs- oder Probetrainingsdaten ohne Vertragsschluss: 6 Monate

6. Deine Rechte

Du hast jederzeit das Recht auf:
  • Auskunft (Art. 15 DSGVO) über die zu deiner Person gespeicherten Daten
  • Berichtigung (Art. 16 DSGVO) unrichtiger oder unvollständiger Daten
  • Löschung (Art. 17 DSGVO), soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen
  • Einschränkung der Verarbeitung (Art. 18 DSGVO)
  • Datenübertragbarkeit (Art. 20 DSGVO)
  • Widerspruch gegen die Verarbeitung (Art. 21 DSGVO)
  • Widerruf einer erteilten Einwilligung mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
  • Beschwerde bei einer Aufsichtsbehörde, insbesondere bei der Landesbeauftragten für Datenschutz und Informationsfreiheit Nordrhein-Westfalen, Postfach 20 04 44, 40102 Düsseldorf

Zur Wahrnehmung deiner Rechte kannst du uns unter hello@bl-ems.de oder per Post kontaktieren.

7. Folgen des Widerrufs der Einwilligung in Gesundheitsdaten

Wenn du deine Einwilligung in die Verarbeitung von Gesundheitsdaten widerrufst, können wir aus Sicherheitsgründen kein EMS-Training mehr für dich anbieten. Der Widerruf lässt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung unberührt. Auf deinen Wunsch löschen wir deine Gesundheitsdaten unverzüglich, soweit keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

8. Datensicherheit

Wir treffen technische und organisatorische Maßnahmen, um deine Daten gegen unberechtigten Zugriff, Verlust oder Manipulation zu schützen. Gesundheitsdaten werden gesondert geschützt und nur den unmittelbar betreuenden Trainern zugänglich gemacht.

9. Eigenentwickelte Studio-Software, Self-Hosting und KI-Funktionen

Wir entwickeln und betreiben eine eigene Studio- und Mitgliederverwaltungssoftware aus dem eigenen Haus, die die bisher eingesetzten externen Systeme (siehe Ziffer 4) schrittweise ablöst. Leitprinzip dieser Eigenentwicklung ist größtmögliche Datensparsamkeit und Datenschutzkonformität:
  • Eigene Software, eigene Verantwortung: Die Anwendung stammt aus unserer eigenen Entwicklung. Datenflüsse, Zugriffsrechte und Sicherheitsmaßnahmen verantworten wir unmittelbar selbst, statt sie an Fremdanbieter auszulagern.
  • Self-Hosting / Verarbeitung in der EU: Die Software wird auf von uns selbst kontrollierter bzw. innerhalb der EU gehosteter Infrastruktur betrieben. Eine Übermittlung personenbezogener Daten in Drittländer außerhalb der EU/des EWR findet nicht statt.
  • Lokale KI-Verarbeitung: Soweit wir KI-gestützte Funktionen einsetzen, erfolgt deren Verarbeitung mit lokal bzw. auf eigener Infrastruktur betriebenen Sprachmodellen. Eine Übermittlung deiner personenbezogenen Daten — insbesondere deiner Gesundheitsdaten — an externe KI-Anbieter (etwa zur Cloud- oder Modelltrainings-Verarbeitung) findet dabei nicht statt.
  • Zahlungsabwicklung: Wiederkehrende Beiträge werden im SEPA-Lastschriftverfahren über unseren Zahlungsdienstleister GoCardless SAS (siehe Ziffer 4) eingezogen. An GoCardless werden ausschließlich die für den Lastschrifteinzug erforderlichen Zahlungsdaten übermittelt.

Hinweis zum Stand: Die Umstellung auf die eigene Software erfolgt schrittweise. Solange einzelne externe Systeme (Ziffer 4) noch im Einsatz sind, gelten die dortigen Angaben fort. Über wesentliche Änderungen informieren wir in einer aktualisierten Fassung dieser Datenschutzerklärung.

10. Keine automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne von Art. 22 DSGVO findet nicht statt.