Tennisschulen verarbeiten viele personenbezogene Daten: Spieler:innen-Stammdaten, Eltern-Konten, Bankverbindungen, Gesundheits-Hinweise (Allergien, Verletzungen), Trainings-Bewertungen. Das macht sie nach DSGVO zu "Verantwortlichen" — mit konkreten Pflichten.
Dieser Artikel ist keine Rechtsberatung, sondern ein Praxis-Leitfaden für Tennisschul-Inhaber:innen. Wir zeigen, was du 2026 umsetzen musst, was Mythos ist, und wie eine moderne Tennisschul-Software dir die DSGVO-Pflichten erleichtert.
Übersicht
Was ist DSGVO und warum betrifft sie dich?
Die Datenschutz-Grundverordnung (DSGVO) gilt seit Mai 2018 EU-weit. Sie regelt, wie Unternehmen personenbezogene Daten verarbeiten dürfen. "Personenbezogene Daten" sind alle Informationen, die einer Person zugeordnet werden können: Name, E-Mail, Telefonnummer, IP-Adresse, Geburtsdatum, Bankverbindung — und auch indirekte Daten wie Trainings-Verlauf oder Leistungsklasse.
Als Tennisschul-Inhaber bist du der "Verantwortliche". Du entscheidest, welche Daten du sammelst, wie sie verarbeitet werden und wer Zugriff hat. Diese Verantwortung ist nicht delegierbar — auch nicht an deine Software.
Auftragsverarbeitungsvertrag (AVV)
Das wichtigste DSGVO-Dokument für deine Software-Auswahl. Sobald du eine Software-Lösung nutzt, die personenbezogene Daten deiner Spieler:innen verarbeitet (also: jede Tennisschul-Software), brauchst du einen Auftragsverarbeitungsvertrag mit dem Anbieter — laut DSGVO Art. 28.
Was muss im AVV stehen?
- Welche Daten verarbeitet werden (Stammdaten, Buchungen, Bewertungen, Bankdaten)
- Zu welchem Zweck (Vertragserfüllung, Verwaltung, Abrechnung)
- Wie lange (Vertragslaufzeit + gesetzliche Aufbewahrungsfristen)
- Wer Zugriff hat (Anbieter-Mitarbeiter, Sub-Prozessoren)
- Welche Sicherheitsmaßnahmen getroffen werden (Verschlüsselung, Backup, Zugriffsrechte)
- Was bei Datenschutzverletzungen passiert (Meldepflicht innerhalb 72h)
- Was bei Vertragsende mit deinen Daten passiert (Export + Löschung)
Realität: Stimmt für Excel/Word lokal auf deinem Rechner. Aber sobald Microsoft 365 oder Google Workspace im Spiel ist (Cloud-Backup, Mail-Synchronisation), brauchst du auch dort einen AVV. Die meisten Schulen haben den ohne es zu wissen — er ist Teil der Microsoft/Google-AGB.
Worauf solltest du beim AVV achten?
- Standardmäßig inklusive: Ein guter Anbieter hat den AVV automatisch im Vertrag. Wenn du danach fragen musst, ist das ein Warnsignal.
- Sub-Prozessoren transparent: Wer hat alles Zugriff? AWS? Stripe? Mailgun? Die Liste muss verfügbar sein.
- Recht auf Audit: Du musst (theoretisch) prüfen können, ob der Anbieter sich an den AVV hält.
- Schriftform: AVV digital signiert oder physisch unterschrieben — beides ist okay.
Server-Standort und Datentransfer
Wo deine Daten physisch liegen, ist relevanter als viele denken. Die DSGVO unterscheidet drei Zonen:
| Zone | Aufwand | Beispiele |
|---|---|---|
| EU/EWR | Minimal | Deutschland, Frankreich, Niederlande, Irland |
| Adäquate Drittländer | Mittel | UK, Schweiz, Kanada, Israel |
| Andere Drittländer | Sehr hoch | USA, Indien, Brasilien |
Bei den USA wird es seit dem Schrems-II-Urteil kompliziert. Standardvertragsklauseln allein reichen nicht mehr — du musst zusätzliche Garantien dokumentieren. Praktisch bedeutet das: Wenn deine Tennisschul-Software in USA hostet, musst du jede Datenverarbeitung einzeln rechtfertigen.
Empfehlung: Software mit Server-Standort Deutschland oder EU. Das spart Compliance-Aufwand und ist bei minderjährigen Spielern fast Pflicht.
THENN·OS hostet alle Daten in Deutschland — ISO-27001-zertifiziertes Rechenzentrum eines deutschen Cloud-Anbieters.
Daten minderjähriger Spieler:innen
Die meisten Tennisschulen haben minderjährige Schüler:innen. Das macht die Sache aus DSGVO-Sicht komplexer. Daten von Kindern unter 16 Jahren genießen besonderen Schutz.
Was du konkret beachten musst
- Eltern-Einwilligung dokumentiert: Bei Anmeldung muss ein Erziehungsberechtigter explizit der Datenverarbeitung zustimmen. Eine "Hinweis-E-Mail" reicht nicht — du brauchst eine aktive Einwilligung (Checkbox, Unterschrift, digitale Bestätigung).
- Eingeschränkte Datenverarbeitung: Daten von Kindern dürfen nicht für Marketing genutzt werden, nicht an Dritte weitergegeben werden (außer mit Eltern-Einwilligung), nicht profiliert werden.
- Recht auf Vergessen werden besonders berücksichtigt: Wenn ein Kind 18 wird, kann es verlangen, dass alle vor dem 18. Lebensjahr gesammelten Daten gelöscht werden.
- Trainings-Fotos sind heikel: Foto eines Kindes auf deiner Website? Du brauchst Einwilligung der Eltern UND (ab 7-8 Jahren) auch des Kindes selbst.
Realität: Falsch. Der Vereins-Aufnahmevertrag deckt die Vereinsmitgliedschaft ab — nicht alle Datenverarbeitungs-Zwecke. Für jeden separaten Zweck (Foto-Veröffentlichung, Newsletter, Trainings-Bewertung) brauchst du eine eigene Einwilligung.
Rechte deiner Spieler:innen
Spieler:innen (oder bei Minderjährigen die Eltern) haben unter der DSGVO konkrete Rechte. Du musst auf Anfragen innerhalb von 30 Tagen reagieren.
| Recht | Was es bedeutet |
|---|---|
| Auskunft (Art. 15) | Welche Daten hast du gespeichert? Du musst eine Kopie liefern. |
| Berichtigung (Art. 16) | Falsche Daten werden korrigiert (z.B. falsche Telefonnummer). |
| Löschung (Art. 17) | "Recht auf Vergessenwerden" — du musst Daten löschen, außer es gibt gesetzliche Aufbewahrungspflicht. |
| Datenübertragbarkeit (Art. 20) | Daten als strukturiertes Format (CSV/JSON) bereitstellen. |
| Widerspruch (Art. 21) | Marketing-Mails stoppen, Profiling verhindern. |
| Beschwerde (Art. 77) | Spieler:innen können die Datenschutzbehörde einschalten. |
Praxis-Tipp: Auskunfts-Anfrage einfach beantworten
Eine gute Software exportiert dir auf Knopfdruck alle Daten zu einem Spieler — als CSV oder PDF. Damit beantwortest du eine Auskunfts-Anfrage in 5 Minuten statt 5 Stunden Excel-Suche. Das ist ein konkreter DSGVO-Mehrwert von Software gegenüber Excel.
Brauche ich einen Datenschutzbeauftragten?
Pflicht zur Bestellung eines Datenschutzbeauftragten (DSB) hast du in Deutschland, wenn:
- Du regelmäßig 20+ Personen mit Datenverarbeitung beschäftigst (BDSG-Schwelle)
- Du besondere Datenkategorien verarbeitest (z.B. Gesundheitsdaten in großem Umfang)
- Du systematische Überwachung betreibst (z.B. Video-Aufzeichnung in der Halle)
Eine typische Tennisschule mit 5–10 Mitarbeitern fällt nicht unter die Pflicht. Trotzdem solltest du einen internen Datenschutz-Verantwortlichen benennen (typisch der Inhaber oder Office-Manager) und jährlich schulen.
Externe DSB-Dienstleister kosten ca. 500–2.000€/Jahr und übernehmen die formalen Pflichten — sinnvoll wenn du sicher gehen willst, aber nicht zwingend.
Häufige DSGVO-Mythen
Realität: DSGVO gilt für jeden, der personenbezogene Daten verarbeitet. Eine Tennisschule mit 50 Schülern ist genauso betroffen wie ein Konzern. Bußgelder sind allerdings für KMU typisch niedriger.
Realität: Datenschutzbehörden werden meist nach Beschwerden tätig. Ein verärgerter Spieler/Elternteil reicht — und du bekommst Post. Der größere Schaden ist aber Reputationsverlust nach Daten-Pannen.
Realität: Cookie-Banner adressieren nur Web-Tracking. DSGVO-Konformität betrifft alle deine Datenverarbeitungs-Prozesse — Anmeldung, Buchung, Abrechnung, Trainings-Bewertungen, Foto-Veröffentlichung etc.
Realität: WhatsApp greift auf das Kontakte-Adressbuch zu und überträgt Daten in die USA. Für Spieler-Kommunikation (besonders bei Minderjährigen) ist das DSGVO-rechtlich grenzwertig. Eine eingebaute Software-Kommunikation ist sauberer.
Realität: Du brauchst eine aktualisierbare Datenschutzerklärung auf deiner Website, einen AVV mit allen Software-Anbietern, dokumentierte Einwilligungen pro Zweck und ein Verzeichnis von Verarbeitungstätigkeiten (VVT). Letzteres ist Pflicht ab 250 Mitarbeitenden — aber empfohlen für jede Schule, da es bei Behörden-Anfragen sofort vorgezeigt werden muss.
Die DSGVO-Checkliste für Tennisschulen
Praxis-Checkliste 2026
- ☐ Datenschutzerklärung auf der Website (regelmäßig aktualisiert)
- ☐ Cookie-Banner mit "Ablehnen"-Option (kein Dark Pattern)
- ☐ AVV mit allen Software-Anbietern (Tennisschul-Software, Mail, Cloud-Speicher)
- ☐ Auftragsverarbeitung-Liste (welche Sub-Prozessoren nutzen deine Anbieter?)
- ☐ Eltern-Einwilligung bei Minderjährigen dokumentiert
- ☐ Foto-Einwilligung separat (für Website, Social Media, Marketing)
- ☐ Verzeichnis von Verarbeitungstätigkeiten (VVT) angelegt
- ☐ Daten-Export-Mechanismus für Auskunfts-Anfragen
- ☐ Daten-Lösch-Prozess für Kündigungs-Anfragen
- ☐ Sicherheitsmaßnahmen dokumentiert (Passwort-Policy, Backup, Verschlüsselung)
- ☐ Notfall-Plan bei Datenpannen (72h-Meldefrist)
- ☐ Jährliche Mitarbeiter-Schulung zu DSGVO
- ☐ Datenschutz-Verantwortlichen benannt (intern oder extern)
Wie THENN·OS dir DSGVO-Compliance erleichtert
Eine moderne Tennisschul-Software macht DSGVO-Compliance nicht automatisch — aber sie senkt den Aufwand massiv. Konkrete Beispiele:
- AVV standardmäßig: Wir liefern den AVV automatisch beim Vertragsabschluss.
- Server in Deutschland: Keine Schrems-II-Probleme.
- Eltern-Einwilligung digital: Bei Anmeldung minderjähriger Spieler wird die Einwilligung digital eingeholt und dokumentiert.
- Daten-Export auf Knopfdruck: Auskunfts-Anfragen beantwortest du in 5 Minuten.
- Daten-Löschung beim Kündigen: Vollständig und dokumentiert nach 30 Tagen.
- Verschlüsselung AES-256: Daten in Transit und at Rest verschlüsselt.
Sieh dir THENN·OS an — DSGVO-konform by Default
3-Min-Demo zeigt alle 4 Rollen. Kein Login, kein Vertriebsgespräch.
Live-Demo starten → FAQ ansehenWeiterführende Artikel
- Tennisschule digitalisieren in 5 Schritten
- Excel ersetzen in der Tennisschule
- Unsere Datenschutzerklärung
- FAQ — 29 Antworten zu THENN·OS
Hinweis: Dieser Artikel beschreibt den Stand April 2026 und stellt keine Rechtsberatung dar. Für individuelle Fragen konsultiere einen Datenschutz-Experten oder einen auf DSGVO spezialisierten Anwalt.