Datenschutzerklärung

Verantwortliche Stelle:
One Step Ahead UG (haftungsbeschränkt)
Schlangenstr. 13
33607 Bielefeld
Deutschland
E-Mail: support@thenn-os.de
Geschäftsführung: Marcel Klemme

1. Datenschutz auf einen Blick

Allgemeine Hinweise

Die folgenden Hinweise geben einen einfachen Überblick darüber, was mit Ihren personenbezogenen Daten passiert, wenn Sie diese Website besuchen. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

Datenerfassung auf dieser Website

Wer ist verantwortlich für die Datenerfassung auf dieser Website?

Die Datenverarbeitung auf dieser Website erfolgt durch den Websitebetreiber (Dienstanbieter i.S.d. DDG). Dessen Kontaktdaten können Sie dem Abschnitt "Hinweis zur verantwortlichen Stelle" entnehmen.

Wie erfassen wir Ihre Daten?

Ihre Daten werden zum einen dadurch erhoben, dass Sie uns diese mitteilen. Hierbei kann es sich z. B. um Daten handeln, die Sie in ein Registrierungsformular eingeben oder bei der Buchung eines Trainings angeben.

Andere Daten werden automatisch oder nach Ihrer Einwilligung beim Besuch der Website durch unsere IT-Systeme erfasst. Das sind vor allem technische Daten (z. B. Internetbrowser, Betriebssystem oder Uhrzeit des Seitenaufrufs). Die Erfassung dieser Daten erfolgt automatisch, sobald Sie diese Website betreten.

Wofür nutzen wir Ihre Daten?

Ein Teil der Daten wird erhoben, um eine fehlerfreie Bereitstellung der Website zu gewährleisten (z. B. IP-Adressen in Logs). Andere Daten können zur Analyse Ihres Nutzerverhaltens (Inaktivität, Churn) verwendet werden, um das Angebot zu verbessern. Wir verkaufen Ihre Daten nicht an Dritte.

Welche Rechte haben Sie bezüglich Ihrer Daten?

Sie haben jederzeit das Recht, unentgeltlich Auskunft über Herkunft, Empfänger und Zweck Ihrer gespeicherten personenbezogenen Daten zu erhalten. Sie haben außerdem ein Recht, die Berichtigung oder Löschung dieser Daten zu verlangen. Wenn Sie eine Einwilligung zur Datenverarbeitung erteilt haben, können Sie diese jederzeit für die Zukunft widerrufen.

2. Hosting und Content Delivery Networks (CDN)

Externes Hosting

Diese Website wird bei externen Dienstleistern gehostet (Hoster). Die personenbezogenen Daten, die auf dieser Website erfasst werden, werden auf den Servern der Hoster gespeichert. Hierbei kann es sich v. a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Websitezugriffe und sonstige Daten, die über eine Website generiert werden, handeln.

Das Hosting erfolgt zum Zwecke der Vertragserfüllung gegenüber unseren potenziellen und bestehenden Kunden (Art. 6 Abs. 1 lit. b DSGVO) und im Interesse einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots durch einen professionellen Anbieter (Art. 6 Abs. 1 lit. f DSGVO).

Wir setzen folgende Hoster ein:

  • Applikations-Server: Strato AG, Deutschland
  • Datenbank & Cache: Ubicloud (auf Hetzner), Serverstandort: 🇩🇪 Deutschland
  • E-Mail & Domain: ALL-INKL.COM - Neue Medien Münnich, Deutschland

Auftragsverarbeitung

Wir haben mit den oben genannten Anbietern Verträge über Auftragsverarbeitung (AVV) geschlossen. Hierbei handelt es sich um datenschutzrechtlich vorgeschriebene Verträge, die gewährleisten, dass diese die personenbezogenen Daten unserer Webseitenbesucher nur nach unseren Weisungen und unter Einhaltung der DSGVO verarbeiten.

3. Allgemeine Hinweise und Pflichtinformationen

Datensicherheit

Diese Seite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel Bestellungen oder Anfragen, die Sie an uns als Seitenbetreiber senden, eine SSL- bzw. TLS-Verschlüsselung. Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers von http:// auf https:// wechselt und an dem Schloss-Symbol in Ihrer Browserzeile.

Zusätzlich setzen wir moderne Sicherheitsmaßnahmen wie Argon2-Hashing für Passwörter, HttpOnly-Cookies für Sitzungen und Rollenbasierte Zugriffskontrolle (RBAC) ein, um Ihre Daten vor unbefugtem Zugriff zu schützen.

Speicherdauer & Backups

Soweit innerhalb dieser Datenschutzerklärung keine speziellere Speicherdauer genannt wurde, verbleiben Ihre personenbezogenen Daten bei uns, bis der Zweck für die Datenverarbeitung entfällt. Wenn Sie ein berechtigtes Löschersuchen geltend machen oder eine Einwilligung zur Datenverarbeitung widerrufen, werden Ihre Daten gelöscht, sofern wir keine anderen rechtlich zulässigen Gründe für die Speicherung Ihrer personenbezogenen Daten haben.

Backup Retention Policy:

Daten in unserer Datenbank (Ubicloud/Hetzner Deutschland) werden gemäß Backup Retention Policy nach Vertragsbeendigung innerhalb von 7 Tagen gelöscht.

Hinweis: Wird ein "Hard Delete" (Sofortlöschung) im laufenden Betrieb angefordert, werden die Daten im Live-System sofort entfernt. Aufgrund von technischen Backups zur Wiederherstellung im Katastrophenfall (Disaster Recovery) können verschlüsselte Fragmente bis zu 90 Tage in den Sicherungskopien verbleiben, bis diese automatisch überschrieben werden.

Widerspruchsrecht (Art. 21 DSGVO)

Wichtiger Hinweis:

WENN DIE DATENVERARBEITUNG AUF GRUNDLAGE VON ART. 6 ABS. 1 LIT. E ODER F DSGVO ERFOLGT, HABEN SIE JEDERZEIT DAS RECHT, AUS GRÜNDEN, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN, GEGEN DIE VERARBEITUNG IHRER PERSONENBEZOGENEN DATEN WIDERSPRUCH EINZULEGEN.

Account löschen

Die Funktion "Account löschen" in Ihrem Profil unter Einstellungen → Datenschutz ermöglicht Ihnen, die Löschung Ihrer Daten zu beantragen. Ihr Konto wird zunächst für 14 Tage suspendiert. Während dieser Schonfrist können Sie die Löschung jederzeit widerrufen. Nach Ablauf der Frist werden alle personenbezogenen Daten endgültig und unwiderruflich aus unserem aktiven System gelöscht.

4. Datenerfassung auf dieser Website

Cookies & LocalStorage

Unsere Internetseiten verwenden so genannte "Cookies" und den lokalen Browserspeicher (LocalStorage).

Wir verwenden technisch notwendige Cookies/Storage-Einträge:

  • access_token (LocalStorage): Dient Ihrer Authentifizierung nach dem Login.
  • HttpOnly Cookies: Werden für die sichere Erneuerung Ihrer Sitzung (Refresh Token) genutzt.
  • Persistent Login ("Angemeldet bleiben"): Speichert ihren Login-Status auf Ihren Wunsch hin dauerhaft (bis Logout).
  • thennos_analytics_consent (localStorage): Speichert Ihre Einwilligung zur Nutzungsanalyse auf der Landing Page (Opt-In).
  • thennos_lp_session (sessionStorage): Pseudonymisierte Sitzungs-ID für die Landing-Page-Analyse. Wird beim Schließen des Tabs automatisch gelöscht.

Rechtsgrundlage: Die Speicherung von Informationen auf Ihrem Endgerät (Cookies/Storage) erfolgt auf Grundlage von § 25 Abs. 2 Nr. 2 TDDDG (Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz), da diese für den Betrieb der Seite technisch zwingend erforderlich sind oder von Ihnen ausdrücklich gewünscht wurden (Login-Checkbox). Die Analytics-Einwilligung erfolgt separat über Opt-In.

KI-gestützte Funktionen (AI Act Transparenz)

Wir nutzen Künstliche Intelligenz (KI), um personalisierte Trainingspläne zu erstellen.

  • Transparenz: Die Erstellung von Trainingsplänen erfolgt automatisiert durch Algorithmen.
  • Datenverarbeitung: Ihre Profildaten werden zur Generierung genutzt. Eine Weitergabe zu Trainingszwecken der KI findet nicht statt.

5. Analytics & Nutzungsanalyse

Art und Zweck der Verarbeitung

Wir erfassen pseudonymisierte Nutzungsdaten, um Tennisschulen und Sportvereinen aggregierte Analysen zur Trainingsauslastung, Spielerentwicklung und Betriebsoptimierung bereitzustellen. Dabei werden folgende Daten erhoben:

  • Business-Events: Buchungen, Stornierungen, Probetraining-Anfragen, Registrierungen
  • Login-Events: Zeitpunkt, Gerätetyp (Desktop/Mobil/Tablet), Plattform, anonymisierte IP-Adresse
  • Session-Metadaten: Pseudonymisierte Session-ID, Event-Kategorie und Zeitstempel

IP-Anonymisierung

IP-Adressen werden sofort bei Erhebung anonymisiert: Bei IPv4 wird das letzte Oktett genullt (z.B. 192.168.1.xxx → 192.168.1.0), bei IPv6 werden die letzten 5 Gruppen entfernt. Eine Identifikation einzelner Nutzer über die IP-Adresse ist damit nicht möglich.

Widerspruchsrecht (Opt-Out)

Sie können der Erfassung von Analytics-Daten jederzeit widersprechen. Die Opt-Out-Option finden Sie in Ihren Profileinstellungen → Datenschutz. Nach Aktivierung des Opt-Outs werden keine weiteren Events zu Ihrem Nutzerkonto erfasst.

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse). Unser berechtigtes Interesse liegt in der Verbesserung und betriebswirtschaftlichen Optimierung des Trainingsbetriebs unserer Kunden.

Empfänger und Speicherdauer

Die aggregierten Analysedaten sind ausschließlich dem Management der jeweiligen Organisation (Manager, Administratoren) zugänglich. Eine Weitergabe an Dritte findet nicht statt. Analytics-Events werden automatisch nach 24 Monaten unwiderruflich gelöscht (Auto-Purge).

5a. Landing-Page-Analyse & A/B-Tests

Art und Zweck der Verarbeitung

Auf unserer öffentlichen Landing Page erfassen wir mit Ihrer Einwilligung pseudonymisierte Nutzungsdaten, um die Benutzerfreundlichkeit und Conversion zu optimieren. Es handelt sich um ein eigenes Analyse-System — wir verwenden kein Google Analytics, kein Facebook Pixel und keine sonstigen Drittanbieter-Tracking-Tools.

  • Seitenaufrufe und Scroll-Tiefe (in 25%-Schritten)
  • Sichtbarkeit einzelner Seitenabschnitte (Section-Tracking)
  • Klicks auf Call-to-Action Buttons (CTA-Tracking)
  • Verweildauer auf der Seite und in einzelnen Abschnitten
  • Herkunft des Besuchs (Referrer, UTM-Parameter)
  • Gerätetyp (Desktop/Mobil/Tablet) und gekürzter Browser-String

A/B-Tests

Zur Optimierung der Landing Page führen wir A/B-Tests durch, bei denen verschiedene Seitenversionen angezeigt werden. Die Zuweisung zu einer Variante erfolgt automatisiert auf Basis einer zufälligen Sitzungs-ID. Die Zuweisung wird in Ihrem Browser-Sitzungsspeicher (sessionStorage) gespeichert und beim Schließen des Tabs gelöscht.

Keine persistenten Identifikatoren

Alle Identifikatoren (Besucher-ID, Sitzungs-ID, A/B-Test-Zuweisung) werden ausschließlich im sessionStorage Ihres Browsers gespeichert. Beim Schließen des Tabs werden diese automatisch gelöscht. Es findet kein sitzungsübergreifendes Tracking statt.

Rechtsgrundlage & Einwilligung

Die Erfassung erfolgt nur nach Ihrer ausdrücklichen Einwilligung (Opt-In) gemäß Art. 6 Abs. 1 lit. a DSGVO i.V.m. § 25 Abs. 1 TDDDG. Die technisch notwendige Sitzungsverwaltung (sessionStorage) ist nach § 25 Abs. 2 Nr. 2 TDDDG ohne Einwilligung zulässig. Sie können Ihre Einwilligung jederzeit widerrufen.

IP-Anonymisierung & Speicherdauer

IP-Adressen werden sofort bei Erhebung anonymisiert (letztes IPv4-Oktett bzw. letzte 5 IPv6-Gruppen genullt). Landing-Page-Events werden automatisch nach 24 Monaten gelöscht. Eine Weitergabe an Dritte findet nicht statt — alle Daten verbleiben auf unseren eigenen Servern in Deutschland.

6. Interne Kommunikation (Nachrichten)

Art und Zweck der Verarbeitung

Die Plattform bietet eine interne Nachrichtenfunktion, über die Trainer, Manager und Spieler innerhalb einer Organisation kommunizieren können. Dabei werden folgende Daten verarbeitet:

  • Absender und Empfänger der Nachricht
  • Betreff und Inhalt der Nachricht
  • Zeitpunkt des Versands und des Lesens

Rechtsgrundlage

Die Verarbeitung erfolgt auf Grundlage von Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) zur Ermöglichung der Kommunikation zwischen Trainern und Spielern im Rahmen des Trainingsbetriebs.

Einsichtnahme durch den Betreiber

Der Plattformbetreiber ist berechtigt, bei begründetem Verdacht auf Verstöße gegen die Nutzungsbedingungen oder bei Meldung rechtswidriger Inhalte Einsicht in Nachrichteninhalte zu nehmen und diese gegebenenfalls zu löschen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Missbrauchsprävention und dem Schutz der Nutzer vor rechtswidrigen Inhalten).

Speicherdauer

Nachrichten werden gespeichert, solange Ihr Nutzerkonto besteht. Bei Löschung Ihres Kontos werden auch alle von Ihnen gesendeten Nachrichten automatisch gelöscht (Art. 17 DSGVO).

7. Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO)

Art und Zweck der Verarbeitung

Im Rahmen der Nutzung unserer Plattform können Sie freiwillig Angaben zu Ihrem Gesundheitszustand hinterlegen (z.B. Verletzungen, Allergien, physische Einschränkungen).

Die Verarbeitung erfolgt ausschließlich zu folgenden Zwecken:

  • Individuelle Anpassung von Trainingsplänen zur Vermeidung von Überlastungen
  • Berücksichtigung gesundheitlicher Einschränkungen bei der Wettkampfplanung
  • Notfallmanagement (z.B. Allergien für Ersthelfer)

Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 9 Abs. 2 lit. a DSGVO. Die Angabe ist freiwillig. Die Nichterteilung hat keine Auswirkungen auf Ihre Mitgliedschaft oder die generelle Nutzbarkeit der Plattform.

Empfängerkreis

Ihre Gesundheitsdaten sind ausschließlich dem für Sie zuständigen Trainerpersonal sowie der Akademieleitung zugänglich. Eine Weitergabe an Dritte findet nicht statt.

Speicherdauer und Widerruf

Wir speichern die Daten bis Sie Ihre Einwilligung widerrufen oder aus der Akademie austreten. Den Widerruf können Sie jederzeit in Ihren Profileinstellungen vornehmen. Nach Widerruf werden die entsprechenden Daten unverzüglich gelöscht.

8. Saisonumfragen

Art und Zweck der Verarbeitung

Über öffentliche Umfrage-Links können Tennisschulen und Sportorganisationen Trainingspräferenzen ihrer Mitglieder erfassen. Dabei werden folgende Daten erhoben:

  • Name und E-Mail-Adresse (zur Identifikation und Verifizierung)
  • Telefonnummer (optional, für Rückfragen)
  • Trainingspräferenzen (Wunschtage, Uhrzeiten, Gruppengröße etc.)
  • Antworten auf individuelle Fragen der jeweiligen Organisation

Rechtsgrundlage

Die Verarbeitung erfolgt auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO, die Sie durch das Absenden des Umfrageformulars erteilen.

Empfänger der Daten

Verantwortlich für die Datenverarbeitung ist die jeweilige Organisation (Tennisschule/Sportverein), die die Umfrage erstellt hat. Die Organisation erhält Zugriff auf Ihre Antworten zur Trainingsplanung.

THENN·OS (Marcel Klemme) agiert als Auftragsverarbeiter gemäß Art. 28 DSGVO und stellt die technische Infrastruktur bereit.

Speicherdauer

Ihre Umfrageantworten werden für die Dauer der Trainingsplanung gespeichert, in der Regel bis zum Ende der jeweiligen Saison. Sie können Ihre Einwilligung jederzeit per E-Mail an die jeweilige Organisation widerrufen. Nach Widerruf werden Ihre Daten unverzüglich gelöscht.

Double-Opt-In

Zur Verifizierung Ihrer E-Mail-Adresse senden wir Ihnen einen Bestätigungslink. Erst nach Klick auf diesen Link werden Ihre Präferenzen gespeichert und an die Organisation übermittelt.

9. Zusatzfunktionen & Drittanbieter

Web Push Benachrichtigungen

Rechtsgrundlage ist Ihre ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), die Sie durch das Aktivieren der Benachrichtigungen im Browser erteilen.

Google Fonts (Lokal)

Wir haben Schriftarten lokal auf unserem eigenen Server gespeichert. Es findet keine Verbindung zu Servern von Google statt.

E-Mail-Versand via All-Inkl

Für den Versand von Transaktions-E-Mails nutzen wir die SMTP-Server unseres Hosters All-Inkl in Deutschland.

Zahlungsabwicklung (Stripe)

Für die Abwicklung von Zahlungen nutzen wir den Dienst Stripe (Stripe Payments Europe Ltd., Dublin, Irland). Wenn Sie eine Zahlung tätigen, werden die erforderlichen Zahlungsdaten direkt an Stripe übermittelt. THENN·OS speichert keine vollständigen Kreditkartendaten.

Verarbeitete Daten: Zahlungsbetrag, Zahlungsstatus, Rechnungs-ID, Zeitstempel. Kreditkartendaten werden ausschließlich von Stripe verarbeitet (PCI-DSS-zertifiziert).

Empfänger: Stripe Payments Europe Ltd., Dublin, Irland (EU — Angemessenheitsniveau). Für Stripe Inc. (USA) gelten Standardvertragsklauseln (SCC).

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung) für die Zahlungsabwicklung; Art. 6 Abs. 1 lit. c DSGVO (rechtliche Verpflichtung) für die steuerliche Aufbewahrung.

Speicherdauer: Rechnungsdaten werden aufgrund steuerlicher Aufbewahrungspflichten (HGB § 257) für 10 Jahre gespeichert. Nach Ablauf werden sie automatisch anonymisiert.

Live-Chat (Support über Telegram)

Unsere Plattform bietet einen freiwilligen Live-Chat für Support-Anfragen. Wenn Sie den Chat nutzen, werden Ihre Nachrichten, Ihr Name (sofern angegeben) und die aktuell besuchte Seite über die Telegram Bot API an den Plattformbetreiber übermittelt.

Verarbeitete Daten: Nachrichteninhalt, Name (optional), aktuelle Seiten-URL, Sitzungs-ID (pseudonym).

Empfänger: Telegram FZ-LLC, Dubai, VAE. Es besteht kein Angemessenheitsbeschluss der EU-Kommission für die VAE.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines effizienten Kundensupports). Die Nutzung des Chats erfolgt auf Ihre eigene Initiative.

Speicherdauer: Chat-Sitzungen werden auf unserem Server in der Datenbank gespeichert und nach 30 Tagen Inaktivität automatisch archiviert. Archivierte Sitzungen werden nach weiteren 90 Tagen endgültig gelöscht. In Telegram verbleibt der Verlauf dauerhaft beim Plattformbetreiber.

KI-Assistent (Support-Chatbot)

Unsere Plattform bietet einen optionalen KI-gestützten Support-Chatbot, der häufige Fragen zur Nutzung der Plattform automatisiert beantwortet. Die Nutzung ist freiwillig — Sie können jederzeit zum menschlichen Support wechseln.

Verarbeitete Daten: Nachrichteninhalt, Vorname (sofern eingeloggt), aktuelle Seiten-URL, Benutzerrolle, Sitzungs-ID (pseudonym). Es werden keine Passwörter, Zahlungsdaten oder sensiblen personenbezogenen Daten an den KI-Anbieter übermittelt.

Dienstleister: Die KI-Verarbeitung erfolgt über einen externen KI-Dienstleister (derzeit in Evaluierung). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO. Der Anbieter nutzt Ihre Chat-Inhalte nicht zum Training seiner Modelle.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Bereitstellung eines effizienten, rund um die Uhr verfügbaren Kundensupports). Die Nutzung erfolgt auf Ihre eigene Initiative.

EU AI Act (Art. 50): Der Chatbot ist als KI-System gekennzeichnet. Er ist als System mit minimalem Risiko (Assistenz-Chatbot) klassifiziert und unterliegt der Transparenzpflicht gemäß EU-Verordnung 2024/1689.

Speicherdauer: Chat-Verläufe werden serverseitig in der Datenbank gespeichert und nach 12 Monaten automatisch gelöscht. Beim KI-Anbieter werden keine Daten dauerhaft gespeichert.

10. Ihre Rechte

Beschwerderecht bei der Aufsichtsbehörde (Art. 77 DSGVO)

Im Falle von Verstößen gegen die DSGVO steht den Betroffenen ein Beschwerderecht bei einer Aufsichtsbehörde zu, insbesondere in dem Mitgliedstaat ihres gewöhnlichen Aufenthalts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes.

Zuständige Aufsichtsbehörde:
Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW)
Webseite: www.ldi.nrw.de

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format (JSON) aushändigen zu lassen. Sie finden diese Funktion in Ihren Einstellungen → Datenschutz → Datenexport.

Stand: April 2026