1. Verantwortlicher
Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO) und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:
| Name / Unternehmen | Kai Renz (Einzelunternehmen) |
| Anschrift | Otto-Hahn-Str. 7, 89584 Ehingen (Donau) |
| info@kursigo.de | |
| Website | https://kursigo.de |
Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Bestellungspflichten gemäß Art. 37 DSGVO und § 38 BDSG nach aktuellem Stand nicht erfüllt sind.
2. Überblick über die Verarbeitung
Kursigo ist eine cloudbasierte Buchungs- und Verwaltungssoftware (SaaS) für Kursanbieter wie Yogalehrerinnen und -lehrer, Fitnessstudios, Coaches und Therapeuten. Die Plattform betreibt für jeden Kunden eine technisch isolierte, dedizierte Instanz mit einer eigenen Datenbank (sog. Single-Tenant-Architektur je Kunde innerhalb einer gemeinsamen Infrastruktur). Ein Zugriff auf Daten anderer Kunden ist systembedingt ausgeschlossen.
| Art des Angebots | SaaS-Buchungsplattform mit dedizierter Instanz je Kunden |
| Primäre Datenspeicherung | AWS eu-central-1 (Frankfurt, Deutschland) |
| Rolle gegenüber Kundendaten | Verantwortlicher (Art. 4 Nr. 7 DSGVO) |
| Rolle gegenüber Endkundendaten | Auftragsverarbeiter (Art. 28 DSGVO) |
| Besondere Kategorien (Art. 9) | Werden nicht verarbeitet |
| Tracking / Cookies | Keine Analytics- oder Marketing-Cookies |
3. Verarbeitung bei Besuch unserer Website (kursigo.de)
3.1 Server-Logfiles und CDN
Beim Aufruf von kursigo.de werden technisch notwendige Daten erhoben und in Server-Logfiles gespeichert:
- IP-Adresse des aufrufenden Geräts
- Datum und Uhrzeit des Abrufs
- Name und URL der abgerufenen Datei
- Verwendeter Browser und Betriebssystem
- Referrer-URL (zuletzt besuchte Seite)
Die Website wird über einen Amazon-S3-Bucket (Frankfurt) ausgeliefert, dem eine Amazon-CloudFront-Distribution als Content-Delivery-Network (CDN) vorgelagert ist. CloudFront nutzt weltweit verteilte Edge-Locations, unter anderem außerhalb der EU. Dabei werden IP-Adressen der Websitebesucher an den jeweils nächsten Edge-Knoten übermittelt.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer schnellen und sicheren Auslieferung der Website). Für den Drittlandtransfer: EU-Standardvertragsklauseln im Rahmen des AWS Data Processing Addendum; Amazon Web Services, Inc. ist zudem unter dem EU-US Data Privacy Framework zertifiziert.
Die Logs werden für maximal 30 Tage gespeichert und danach automatisch gelöscht.
3.2 Cookies und Tracking
Auf kursigo.de werden derzeit keine einwilligungspflichtigen Cookies gesetzt. Es werden insbesondere keine Analyse-, Marketing- oder Tracking-Cookies verwendet und keine Drittanbieter-Skripte (z. B. Google Analytics, Meta-Pixel, LinkedIn Insight Tag) geladen. Technisch notwendige Cookies, die ausschließlich dem Betrieb der Plattform dienen (z. B. Session-Cookies nach dem Login), sind nach § 25 Abs. 2 TDDDG ohne gesonderte Einwilligung zulässig. Ein Cookie-Consent-Banner ist nach aktuellem Stand nicht erforderlich. Sollte sich dies durch künftige Erweiterungen der Website ändern, wird diese Datenschutzerklärung entsprechend aktualisiert.
4. Registrierung und Nutzerkonto (Kursanbieter)
Für die Nutzung der Kursigo-Plattform ist eine Registrierung erforderlich. Dabei erheben wir folgende Daten:
| Pflichtfelder | Name, E-Mail-Adresse, Passwort, Anschrift |
| Optionale Felder | Telefonnummer |
| Zweck Anschrift | Rechnungsstellung und Vertragserfüllung |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
Passwörter werden ausschließlich als kryptografischer Hash gespeichert. Eine Klartextspeicherung findet nicht statt.
Die Daten werden für die Dauer der Vertragsbeziehung gespeichert und anschließend nach Ablauf der handels- und steuerrechtlichen Aufbewahrungsfristen (in der Regel 10 Jahre) gelöscht.
Beim Registrierungsvorgang werden Zeitpunkt und Version der akzeptierten AGB und des Auftragsverarbeitungsvertrags protokolliert.
5. Zahlungsabwicklung (Stripe)
Die Abrechnung der Kursigo-Abonnements erfolgt über den Zahlungsdienstleister Stripe. Kursigo selbst speichert keine Karten- oder Bankdaten.
| Dienstleister | Stripe Payments Europe, Limited |
| Sitz EU-Vertragspartner | Irland |
| Drittlandtransfer | Möglich (Stripe, Inc., USA) |
| Rechtsgrundlage Transfer | EU-Standardvertragsklauseln, Stripe DPA, EU-US Data Privacy Framework |
| Rechtsgrundlage Verarbeitung | Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) |
Die Zahlungsabwicklung zwischen Kursanbieter und seinen Endkunden (Kursteilnehmern) findet außerhalb der Kursigo-Plattform statt und liegt in der Verantwortung des jeweiligen Kursanbieters.
6. E-Mail-Kommunikation
Kursigo versendet transaktionale E-Mails (z. B. Registrierungsbestätigung, Passwort-Reset, Rechnungen, Zahlungserinnerungen) über Microsoft 365 / Exchange Online.
| Dienstleister | Microsoft Ireland Operations Limited |
| Primäre Verarbeitung | EU-Rechenzentren |
| Drittlandtransfer | Möglich (Microsoft Corporation, USA) |
| Rechtsgrundlage Transfer | Microsoft DPA (Art. 28 DSGVO), EU-Standardvertragsklauseln, EU-US DPF |
Ein Teil des E-Mail-Versands wird durch n8n, eine selbst gehostete Workflow-Automatisierungssoftware, ausgelöst. n8n wird in einem deutschen Rechenzentrum betrieben. Execution-Logs von n8n, die personenbezogene Daten enthalten können, werden nach maximal 30 Tagen automatisch gelöscht.
7. Verarbeitung von Endkundendaten (Auftragsverarbeitung nach Art. 28 DSGVO)
Kursigo verarbeitet personenbezogene Daten der Endkunden (Kursteilnehmer) eines Kursanbieters ausschließlich als Auftragsverarbeiter im Sinne des Art. 28 DSGVO – d. h. strikt auf Weisung und im Auftrag des jeweiligen Kursanbieters. Kursigo hat für diese Verarbeitung keine eigene Rechtsgrundlage und handelt in keiner Weise als eigenständiger Verantwortlicher gegenüber den Kursteilnehmern.
Verantwortlicher für die Verarbeitung der Endkundendaten ist ausschließlich der jeweilige Kursanbieter (das Yogastudio, der Coach, der Therapeut), der Kursigo nutzt. Der Kursanbieter legt Zweck und Mittel der Verarbeitung fest und trägt die datenschutzrechtliche Verantwortung gegenüber seinen Kursteilnehmern. Er ist verpflichtet, seinen Kursteilnehmern gegenüber eine eigene, DSGVO-konforme Datenschutzerklärung vorzuhalten, in der Kursigo als Auftragsverarbeiter genannt ist.
Mit jedem Kursanbieter wird vor der Datenverarbeitung ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen, der die Rechte und Pflichten beider Seiten regelt.
| Rolle von Kursigo | Auftragsverarbeiter (Art. 28 DSGVO) – keine eigene Rechtsgrundlage |
| Verantwortlicher | Der jeweilige Kursanbieter (Yogastudio, Coach, Therapeut etc.) |
| Stammdaten Endkunden | Name, E-Mail (Pflicht); Telefonnummer (optional) |
| Buchungsdaten | Gebuchte Termine, Buchungshistorie |
| Vertragsdaten | Gebuchte Karten (z. B. 10er-Karte) |
| Besondere Kategorien (Art. 9) | Werden NICHT verarbeitet |
| Speicherort | SQLite-Datenbank der jeweiligen Instanz (AWS EFS, Frankfurt) |
Kursteilnehmer, die Auskunft, Berichtigung, Löschung oder Datenübertragbarkeit bezüglich ihrer gebuchten Kursplätze und Kundendaten begehren, wenden sich bitte direkt an den jeweiligen Kursanbieter als datenschutzrechtlich Verantwortlichen. Kursigo unterstützt den Kursanbieter bei der Erfüllung dieser Anfragen technisch im Rahmen des AVV.
8. Übermittlung in Drittländer
Die nachfolgenden Dienste können technisch zu einer Übermittlung personenbezogener Daten in Drittländer (insbesondere in die USA) führen. Als Rechtsgrundlage dienen in allen Fällen EU-Standardvertragsklauseln (SCC) in Verbindung mit den jeweiligen Datenschutzzusätzen (DPA) der Anbieter. Alle genannten Unternehmen sind zudem unter dem EU-US Data Privacy Framework (DPF) zertifiziert.
| Dienst | Zweck | Rechtsgrundlage Transfer |
|---|---|---|
| AWS CloudFront | CDN, globale Auslieferung der Website | SCC, AWS DPA, EU-US DPF |
| Stripe | Zahlungsabwicklung Kunden-Abos | SCC, Stripe DPA, EU-US DPF |
| Microsoft 365 | E-Mail-Versand | SCC, Microsoft DPA, EU-US DPF |
9. Auftragsverarbeiter (Übersicht)
Folgende externe Dienstleister verarbeiten personenbezogene Daten im Auftrag von Kursigo. Mit jedem wurde ein AV-Vertrag bzw. ein entsprechendes Data Processing Addendum abgeschlossen:
| Dienst | Zweck | Sitz / Region | Drittland? |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting, Storage, Datenbanken, Logs | Frankfurt (EU) | Teilweise (CloudFront) |
| Microsoft 365 | E-Mail-Versand, Kommunikation | Microsoft Ireland (EU) | Ja (USA möglich) |
| Stripe | Zahlungsabwicklung Abos | Stripe Payments Europe (IE) | Ja (USA möglich) |
| n8n (self-hosted) | Workflow-Automatisierung, Mail-Trigger | Deutsches RZ | Nein |
10. Speicherdauer
Personenbezogene Daten werden nur so lange gespeichert, wie es für den jeweiligen Verarbeitungszweck erforderlich ist oder gesetzliche Aufbewahrungspflichten bestehen:
| Kundendaten (Registrierung, Vertrag) | Dauer der Vertragsbeziehung + 10 Jahre (§§ 147 AO, 257 HGB) |
| Rechnungs- und Zahlungsdaten | 10 Jahre (steuerrechtliche Aufbewahrungspflicht) |
| Server-Logfiles (CloudWatch) | 30 Tage |
| n8n Execution-Logs | 30 Tage |
| Endkundendaten (Auftragsverarbeitung) | Gemäß Weisung des Kursanbieters; Löschung auf Anfrage |
11. Betroffenenrechte
Sie haben gegenüber Kursigo (Kai Renz) folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:
- Recht auf Auskunft (Art. 15 DSGVO)
- Recht auf Berichtigung unrichtiger Daten (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht gegen auf berechtigtem Interesse gestützte Verarbeitungen (Art. 21 DSGVO)
- Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO)
- Beschwerderecht bei der zuständigen Aufsichtsbehörde (Art. 77 DSGVO)
Anfragen richten Sie bitte an: info@kursigo.de
Zuständige Aufsichtsbehörde (Sitz des Verantwortlichen in Baden-Württemberg): Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg (LfDI BW), Lautenschlagerstraße 20, 70173 Stuttgart, E-Mail: poststelle@lfdi.bwl.de, Website: www.lfdi.bwl.de.
Sind Sie Endkunde (Kursteilnehmer), richten Sie Ihre Anfragen bitte zunächst an den Kursanbieter, der Kursigo nutzt und in dessen Auftrag Ihre Daten verarbeitet werden.
12. Datensicherheit
Kursigo setzt technische und organisatorische Maßnahmen (TOM) gemäß Art. 32 DSGVO ein, um Ihre personenbezogenen Daten gegen Verlust, Missbrauch und unbefugten Zugriff zu schützen. Dazu gehören insbesondere:
- Verschlüsselung aller Daten in der Übertragung (TLS/HTTPS)
- Serverseitige Verschlüsselung aller gespeicherten Daten (AWS KMS)
- Physische Trennung der Kundendaten durch dedizierte Datenbank-Instanzen je Tenant
- Speicherung von Passwörtern ausschließlich als kryptografischer Hash
- Zugangsdaten und Secrets werden über AWS Secrets Manager verwaltet
- Regelmäßige Backups der Kundendaten in einem separaten S3-Bucket
- Beschränkung von Datenbankzugriffen auf das für den Betrieb notwendige Minimum
13. Newsletter und E-Mail-Marketing
Kursigo versendet einen Newsletter mit Informationen zu Produktupdates, neuen Funktionen, Angeboten und sonstigen Neuigkeiten rund um die Plattform. Der Versand erfolgt ausschließlich auf Grundlage einer ausdrücklichen Einwilligung der Empfänger gemäß Art. 6 Abs. 1 lit. a DSGVO i. V. m. § 7 Abs. 2 Nr. 3 UWG. Dabei erheben wir folgende Daten:
- E-Mail-Adresse
- Zeitstempel der Anmeldung
- Protokollierung der erteilten Einwilligung (Inhalt, Zeitpunkt, Quelle)
Die Anmeldung zum Newsletter erfolgt über ein Double-Opt-in-Verfahren: Nach der Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit einem Link, über den Sie Ihre Einwilligung aktiv bestätigen müssen. Erst nach dieser Bestätigung werden Sie in den Verteiler aufgenommen. Dieses Verfahren dient dem Nachweis Ihrer Einwilligung und dem Schutz vor missbräuchlicher Eintragung.
Die E-Mail-Adressen werden über einen Webhook an n8n (self-hosted, deutsches Rechenzentrum) übertragen und dort verarbeitet. Der E-Mail-Versand erfolgt über Microsoft 365 (siehe Abschnitt 6).
Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen – entweder über den Abmeldelink in jeder Newsletter-E-Mail oder per E-Mail an info@kursigo.de. Nach dem Widerruf werden Ihre Daten aus dem Verteiler unverzüglich entfernt und gelöscht, sofern keine anderweitigen Aufbewahrungspflichten bestehen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.
14. Änderungen dieser Datenschutzerklärung
Kursigo behält sich vor, diese Datenschutzerklärung anzupassen, um sie an geänderte rechtliche Anforderungen oder an Änderungen in der technischen Infrastruktur anzupassen. Die jeweils aktuelle Fassung ist stets unter https://kursigo.de/datenschutz abrufbar. Das Datum der letzten Aktualisierung ist oben auf diesem Dokument angegeben. Bestandskunden werden über wesentliche Änderungen per E-Mail informiert.
Kursigo · Kai Renz · Otto-Hahn-Str. 7 · 89584 Ehingen (Donau) · info@kursigo.de · kursigo.de