Datenschutz

1. Verantwortlicher

Verantwortlich im Sinne der DSGVO ist Damian Kamara, Berlin, Deutschland. Postanschrift: siehe Impressum. Kontakt: info@fitbash.de.

2. Öffentliche Website

Beim Aufruf von fitbash.de erfasst unser Hosting-Provider (Strato) technisch notwendige Server-Logs (IP-Adresse, User-Agent, Zeitpunkt, abgerufene URL). Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an Sicherheit und Verfügbarkeit). Diese Logs werden nach 7 Tagen rotiert. Es findet kein Tracking durch Drittanbieter statt, keine Werbe-Pixel, keine Analyse-Tools. Zu eingesetzten Cookies siehe Abschnitt 6.

Auf der Startseite kann ein Link auf das Google-Unternehmensprofil von FitBash angezeigt werden („Google-Bewertung abgeben“ / „Alle auf Google lesen“). Erst wenn Sie diesen Link aktiv anklicken, werden Sie zu Google weitergeleitet; ab diesem Zeitpunkt gilt die Datenschutzerklärung von Google. Solange Sie nicht klicken, findet keine Datenübertragung an Google statt.

3. Mitgliederbereich (fitbash.de/m)

Klient:innen erhalten Zugang zum geschützten Mitgliederbereich. Folgende Daten werden im Rahmen des Coaching-Vertrags (Art. 6 Abs. 1 lit. b DSGVO) verarbeitet:

• Konto: Name, E-Mail-Adresse, gehashtes Passwort (bcrypt, 12 Runden), Rolle (Klient/Coach), Slug, bevorzugte Sprache.
• Trainingsdaten: Trainingsplan pro Woche, einzelne Sessions mit Übungen, Wiederholungen, Status, Coach-Feedback, sowie freiwillig erfasste Logs (tatsächlich absolvierte Gewichte/Wiederholungen). Aus diesen Logs werden serverseitig persönliche Bestleistungen (PRs) und geschätzte 1-RM-Werte berechnet.
• Ernährungsdaten: Tägliche Makro-Ziele und Mahlzeitenpläne, Hydrations-Tracking, abgehakte Mahlzeiten.
• Coaching-Notizen: Tägliche Fokus-Notizen Ihres Coaches.
• Fortschritt: Optionale Messwerte (Gewicht, Körperfettanteil), Streak-Statistiken, sowie auf Wunsch hochgeladene Fortschrittsfotos (siehe Abschnitt 4).
• Verschiebungsanfragen: Wenn Sie eine Session verschieben möchten, werden Anfrage-Zeitpunkt und optionaler Anlass gespeichert, bis Damian die Anfrage bearbeitet hat.
• Session-Cookie: Ein HMAC-signiertes JWT (HS256) speichert nur Ihre User-ID und Rolle, läuft nach 30 Tagen ab. Kein Drittanbieter-Cookie.

Daten werden in einer PostgreSQL-Datenbank auf demselben Server (Strato, Deutschland) gespeichert. Eine Übermittlung an Dritte oder in Drittländer findet nur statt, soweit dies für die Vertragsabwicklung erforderlich ist (Zahlungsabwicklung, transaktionale E-Mails, siehe Abschnitt 10).

4. Fortschrittsfotos (optional)

Sie können im Mitgliederbereich freiwillig Fortschrittsfotos hochladen, um Ihre Entwicklung sichtbar zu machen. Die Bilder werden als Dateien auf demselben Server (Strato, Deutschland) unter uploads/progress-photos/ gespeichert; ein zugehöriger Datenbank-Eintrag verknüpft das Foto mit Ihrem Account.

Zugriff ist ausschließlich über die authentifizierte API-Route /api/progress-photos/[id] möglich, die bei jedem Aufruf erneut prüft, ob Sie das Foto besitzen (oder ob Sie der Coach sind). Eine direkte URL gibt es nicht. Damian kann Fortschrittsfotos der eigenen Klient:innen einsehen, jedoch nicht löschen. Nur die Klient:in selbst kann ihre Fotos jederzeit über /m/progress löschen.

Rechtsgrundlage ist Ihre Einwilligung mit jedem Upload (Art. 6 Abs. 1 lit. a DSGVO). Die Fotos werden nicht weitergegeben, nicht in der Cloud verarbeitet und nicht für biometrische Identifikation verwendet. Bei Account-Löschung werden alle zugehörigen Foto-Dateien automatisch entfernt.

5. Gesundheitsdaten · Art. 9 DSGVO (besondere Kategorie)

Für eine sichere Trainings- und Ernährungsberatung erhebt Damian beim Intake folgende Gesundheitsdaten: chronische Erkrankungen, aktuelle Medikamente, frühere Verletzungen und Operationen, akute Schmerzen oder laufende Reha, Lebensmittel- und sonstige Allergien, Schwangerschaftsstatus (sofern relevant), ärztliche Trainingsfreigabe samt etwaigen Einschränkungen, Notfallkontakt, sowie freie Anmerkungen aus dem Intake-Gespräch.

Diese Daten zählen zu den besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) und werden ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO) verarbeitet. Die Einwilligung wird entweder schriftlich (PAR-Q+ mit Unterschrift), persönlich-verbal mit Protokoll oder digital über fitbash.de/m/account erteilt; in jedem Fall werden Datum und Quelle der Einwilligung gespeichert.

Zweck der Verarbeitung: Programmgestaltung (Vermeidung von Bewegungen, die mit früheren Verletzungen kollidieren), Ernährungsberatung (Berücksichtigung von Allergien), Sicherheit während der Sessions (Notfallkontakt, ärztliche Hinweise). Empfänger: ausschließlich Damian. Es findet keine automatisierte Entscheidungsfindung auf Basis dieser Daten statt.

Sie können Ihre Einwilligung jederzeit ohne Angabe von Gründen widerrufen. Schreiben Sie an info@fitbash.de. Wir stoppen die Verarbeitung unverzüglich; auf Wunsch löschen wir die Gesundheitsdaten zusätzlich (Art. 17 DSGVO). Ein Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.

6. Cookies

FitBash setzt ausschließlich technisch notwendige bzw. von Ihrer Auswahl ausgelöste Cookies. Es werden keine Cookies zur Reichweitenmessung, kein Tracking, keine Werbung und keine Drittanbieter-Cookies verwendet. Entsprechend ist nach § 25 Abs. 2 Nr. 2 TTDSG keine vorherige Einwilligung erforderlich.

• fitbash_session: HMAC-signiertes JWT (HS256) mit Ihrer User-ID und Rolle. Wird nur nach erfolgreicher Anmeldung gesetzt, läuft nach 30 Tagen ab, httpOnly, secure, SameSite=Lax. Zweck: Aufrechterhaltung der Sitzung im Mitgliederbereich. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
• fitbash_locale: speichert nur Ihre gewählte Sprache (en oder de). Wird ausschließlich gesetzt, wenn Sie aktiv die Sprachumschaltung benutzen. Läuft nach 365 Tagen ab. Zweck: Beibehaltung Ihrer Sprachauswahl bei Folgebesuchen. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer konsistenten Nutzererfahrung).
• fitbash_cookies_acked: Bestätigung, dass Sie diesen Hinweis zur Kenntnis genommen haben. Verhindert die wiederholte Anzeige des Banners. Läuft nach 365 Tagen ab.

Sie können Cookies in Ihrem Browser jederzeit löschen oder deren Speicherung deaktivieren. Ohne fitbash_session ist eine Anmeldung im Mitgliederbereich allerdings technisch nicht möglich.

7. Zahlungsabwicklung · PayPal

Buchungen auf fitbash.de werden ausschließlich über PayPal abgewickelt, entweder als Einmalzahlung (Drop In, Coaching/Premium erster Monat) oder als monatlich wiederkehrendes Abonnement (Coaching, Premium). Sobald Sie auf der Preisseite eine Zahlung anstoßen, werden Sie zur PayPal-Oberfläche weitergeleitet; ab diesem Punkt verarbeitet PayPal Ihre Zahlungs- und Kontaktdaten eigenverantwortlich.

Empfänger: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg. Datenschutzerklärung von PayPal: paypal.com/de/webapps/mpp/ua/privacy-full.

Wir speichern zu jeder Buchung den von PayPal zurückgemeldeten Zahlungsdatensatz (PayPal-Order-ID, ggf. Capture-ID, gewählter Tarif, Betrag, Status, Name und E-Mail-Adresse aus dem PayPal-Profil, Zeitpunkte). Bei Abonnements zusätzlich: PayPal-Subscription-ID, Plan-ID, Status, Start-/letzter Abrechnungs-/nächster Abrechnungs-Zeitpunkt. Kreditkartennummern oder vollständige Bankdaten erreichen unseren Server zu keinem Zeitpunkt; diese verbleiben bei PayPal.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung). Speicherdauer: Aufbewahrung im Rahmen der gesetzlichen handels- und steuerrechtlichen Pflichten (in der Regel bis zu 10 Jahre, § 257 HGB / § 147 AO).

Abonnements können Sie jederzeit über /m/account oder direkt in Ihrem PayPal-Konto kündigen. PayPal benachrichtigt unseren Server über einen signierten Webhook (BILLING.SUBSCRIPTION.*, PAYMENT.CAPTURE.*); wir aktualisieren Status und Abrechnungs-Zeitpunkte entsprechend.

8. E-Mails (Transaktionsmails & Benachrichtigungen)

FitBash versendet ausschließlich vertrags- und betriebsbezogene E-Mails, keine Werbung. Diese können sein:

• Auth-Mails: Einladung neuer Klient:innen, Passwort-Reset, Bestätigung bei Account-Annahme.
• Trainings-Updates: neue Session, Stornierung, Erinnerung 24 h vor Beginn (mit .ics-Anhang), Coach-Feedback nach einer geloggten Session, neuer Wochenplan, neuer Mahlzeitenplan, Tagesfokus-Notiz.
• Wöchentliche Zusammenfassung: sonntagabends; engagierte Klient:innen erhalten eine Zusammenfassung der letzten 7 Tage (Sessions, PRs, Hydration etc.) und einen Ausblick.
• Check-in:Sollten Sie 7+ Tage inaktiv sein, kann Damian Ihnen manuell eine kurze „Alles ok?“-Nachricht schicken.
• Admin-Benachrichtigungen an Damian: Wenn Sie eine Session loggen oder eine Verschiebung anfragen, erhält Damian eine kurze Benachrichtigung. Damian erhält außerdem jeden Montagmorgen ein Briefing über alle Klient:innen.
• Sammel-E-Mails:Bei Bedarf kann Damian eine kurze Information an ausgewählte Empfängergruppen versenden (z. B. „Studio Freitag geschlossen“).
• Gratis-Guide & Tipp-Reihe (Lead-Magnet): Wer sich unter /free für den kostenlosen Guide einträgt und das Double-Opt-in bestätigt, erhält den Guide per E-Mail. Anschließend senden wir an Tag 2 und Tag 5 jeweils einen kurzen Tipp zur Anwendung des Guides — insgesamt zwei Folge-E-Mails. Abmeldung jederzeit über den Link am Ende jeder E-Mail (oder durch Antwort an info@fitbash.de). Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung, durch DOI dokumentiert).

Der Versand erfolgt über den selbst gehosteten Mailserver auf unserem VPS (Postfix + OpenDKIM, siehe Abschnitt 10), DKIM-signiert für die Absenderdomain fitbash.de. Rechtsgrundlage für die Punkte 1–6 oben: Art. 6 Abs. 1 lit. b DSGVO (Vertragsabwicklung) bzw. Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer reibungslosen Betreuung). Für die Tipp-Reihe (Lead-Magnet) gilt Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

9. Kalender-Abonnement (iCal)

Im Mitgliederbereich können Sie eine persönliche iCal-Feed-URL erzeugen, mit der Ihr Kalender-Programm (Google Calendar, Apple Calendar, Outlook…) Ihre Sessions automatisch synchronisiert. Die URL enthält ein 256-Bit-Zufallstoken (Capability-URL). Wer die URL kennt, kann Ihren Kalender lesen. Sie können das Token jederzeit zurücksetzen lassen.

Damian als Coach hat ein eigenes iCal-Token, mit dem sein Kalender-Programm die Sessions aller Klient:innen abrufen kann. Die Feeds enthalten keine Gesundheitsdaten, sondern ausschließlich Session-Titel, Zeit und Beschreibung. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO.

10. Auftragsverarbeiter & Empfänger

• Hosting: Strato AG, Pascalstraße 10, 10587 Berlin (Server in Deutschland; AV-Vertrag liegt vor).
• Transaktionale E-Mails: Google Ireland Limited (Gmail SMTP) für den Versand der unter Abschnitt 8 genannten Nachrichten. Übermittelt werden die E-Mail-Adresse, der Versandzeitpunkt und der Mail-Inhalt. Datenflüsse in die USA sind durch das EU-US Data Privacy Framework abgedeckt.
• Zahlungsabwicklung: PayPal (Europe) S.à r.l. et Cie, S.C.A., 22-24 Boulevard Royal, L-2449 Luxembourg; eigenverantwortliche Verarbeitung Ihrer Zahlungsdaten beim Bezahlvorgang (siehe Abschnitt 7).

Weitere Drittanbieter (Analyse-Tools, CDNs, Werbe-Netzwerke) werden nicht eingesetzt.

11. Speicherdauer

Mitgliederdaten werden für die Dauer der Coaching-Beziehung gespeichert und auf Anforderung jederzeit gelöscht (siehe Abschnitt 13 und der Account-Bereich). Zahlungs- und Buchungsdaten werden gemäß handels- und steuerrechtlicher Pflichten bis zu 10 Jahre aufbewahrt (§ 257 HGB / § 147 AO). Anfragen über das öffentliche Kontaktformular werden nach Abschluss der Korrespondenz gelöscht, spätestens nach 12 Monaten ohne Reaktion.

12. Sicherheitsmaßnahmen

• TLS 1.2/1.3 für jede Verbindung (Let’s Encrypt, automatische Erneuerung).
• Passwörter werden ausschließlich als bcrypt-Hash gespeichert.
• Datenbank-Zugang ist nur lokal über 127.0.0.1 erreichbar.
• Fortschrittsfotos werden nicht als statische Dateien ausgeliefert, sondern bei jedem Aufruf erneut authentifiziert.
• PayPal-Webhooks werden serverseitig signaturverifiziert, bevor sie verarbeitet werden.
• Tägliche verschlüsselte Backups, 14-tägige Aufbewahrung.
• SSH-Zugang nur per Schlüssel, fail2ban gegen Brute-Force.

13. Ihre Rechte

Sie haben uns gegenüber jederzeit folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

• Recht auf Auskunft (Art. 15 DSGVO): Mitglieder können ihre Daten als JSON-Datei direkt im Account-Bereich exportieren.
• Recht auf Berichtigung (Art. 16 DSGVO)
• Recht auf Löschung (Art. 17 DSGVO): Mitglieder können ihr Konto direkt im Account-Bereich löschen.
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
• Recht, der Verarbeitung jederzeit zu widersprechen (Art. 21 DSGVO)
• Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu werden (Art. 22 DSGVO)

Für die Ausübung dieser Rechte schreiben Sie uns an info@fitbash.de. Mitglieder finden Export und Löschung zudem unter /m/account.

Darüber hinaus steht Ihnen das Recht zu, sich bei der zuständigen Datenschutz-Aufsichtsbehörde zu beschweren (Art. 77 DSGVO). Die für uns zuständige Behörde ist die Berliner Beauftragte für Datenschutz und Informationsfreiheit.