SaaS Early-Access · 01.07.2026 – 31.12.2026. Vereinzelt können Fehler auftreten — gemeldete Bugs fixen wir innerhalb von 24 h.

Übersicht Alle Features
Session-CockpitKI-AssistentKundenverwaltungAbrechnungTrainingspläneErnährungGamificationAutomatisierungen
Preise Vergleich Demo
Kostenlos starten

Personal-Trainer-Software DSGVO-konform 2026 — Was du wirklich brauchst

AVV, Art. 9 Gesundheitsdaten, EU-Server, Auftragsverarbeitung: Worauf du als Solo-PT oder Studio rechtlich achten musst, wenn du Software einsetzt.

Niklas Pape · · 8 Min Lesezeit

Personal Trainer und Fitness-Studios verarbeiten täglich besonders sensible Daten: Gesundheitsangaben aus der Anamnese, Trainings- und Ernährungspläne, Zahlungsdaten, Fortschrittsfotos. Wer dabei eine Software einsetzt, sollte sich nicht blind auf "DSGVO-konform"-Werbeversprechen verlassen. Dieser Guide zeigt, welche Punkte du als Solo-PT oder Studio konkret prüfen solltest — in der Reihenfolge der Priorität.

1. EU-Hosting ist Pflicht, aber nur die halbe Miete

Server in Deutschland oder einem anderen EU-Land sind ein erstes wichtiges Merkmal. Sie sorgen dafür, dass deine Daten dem direkten Zugriff europäischer Datenschutzbehörden unterliegen und nicht in unklare Rechtssphären außerhalb der EU verschoben werden. Aber: Hosting allein macht eine Software nicht DSGVO-konform. Anbieter mit Sitz in den USA können trotz EU-Servern unter US-Gesetze wie FISA 702 oder den CLOUD Act fallen — selbst wenn das EU-U.S. Data Privacy Framework (DPF) seit Juli 2023 wieder ein gewisses Schutzniveau herstellt, bleibt die Rechtsunsicherheit.

Was du prüfen solltest: Sitz des Anbieters (Impressum), tatsächlicher Standort der Server (nicht nur die Werbeaussage, sondern Vertragsdokument oder TOM), und ob der Anbieter Subunternehmer einsetzt, die außerhalb der EU sitzen (z.B. CDN- oder E-Mail-Versand-Dienstleister).

2. Auftragsverarbeitungsvertrag (AVV) nach Art. 28 DSGVO

Wann immer du eine Software einsetzt, die personenbezogene Daten deiner Kunden verarbeitet, gilt die Software-Firma als Auftragsverarbeiter. Du als Personal-Trainer:in bleibst Verantwortlicher im Sinne der DSGVO. Diese Konstellation muss durch einen schriftlichen AVV geregelt sein.

Ein DSGVO-konformer AVV enthält mindestens:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung, Art der Daten und Kategorien betroffener Personen
  • Pflichten und Rechte des Verantwortlichen
  • Liste der Sub-Auftragsverarbeiter (Hosting, E-Mail-Versand, Analytics, Zahlungsabwicklung …)
  • Technisch-organisatorische Maßnahmen (TOM)
  • Verfahren bei Datenpannen (72-Stunden-Meldepflicht)
  • Regelungen zur Datenrückgabe und Datenlöschung am Vertragsende

New Prime stellt den AVV als PDF zum Download bereit — einsehbar vor Vertragsabschluss, ohne Mail-Anfrage oder Vertriebsgespräch.

3. Gesundheitsdaten (Art. 9) brauchen ausdrückliche Einwilligung

Sobald du eine Anamnese durchführst — egal ob auf Papier oder digital — sammelst du Gesundheitsdaten. Diese fallen unter Artikel 9 DSGVO ("besondere Kategorien personenbezogener Daten") und sind strenger reguliert als z.B. Adressdaten. Die zentrale Hürde: Du brauchst eine ausdrückliche Einwilligung. Stillschweigende, vorausgewählte oder allgemeine "Mit Klick stimme ich allen AGB zu"-Einwilligungen reichen nicht.

Konkret muss die Einwilligung:

  • freiwillig erteilt werden (keine Bedingung für eine Leistung, die auch ohne diese Daten möglich wäre)
  • informiert sein (klare Sprache, welche Daten zu welchem Zweck)
  • aktiv erteilt werden (Opt-in, keine Vor-Auswahl)
  • für jeden Verarbeitungszweck einzeln eingeholt werden, wenn unterschiedliche Zwecke vorliegen
  • jederzeit widerrufbar sein, ohne Begründungspflicht

Praktischer Tipp: Speichere zu jeder Einwilligung den genauen Wortlaut, das Datum, die Version und ein technisches Merkmal (z.B. IP-Adresse plus Browser). Bei einer Auskunftsanfrage oder einer Aufsichtsbehörden-Prüfung musst du nachweisen können, was genau der Kunde wann zugestimmt hat.

4. Technisch-organisatorische Maßnahmen (TOM, Art. 32)

Art. 32 DSGVO verlangt von dir als Verantwortlichem, "geeignete technische und organisatorische Maßnahmen" zur Datensicherheit zu treffen. Was angemessen ist, hängt vom Risiko ab — für Gesundheitsdaten ist das Risiko hoch. Erwartet werden mindestens:

  • Transportverschlüsselung: TLS 1.2 oder besser bei allen Datenübertragungen (HTTPS, Mail)
  • Verschlüsselung im Ruhezustand: Datenbank- und Backup-Verschlüsselung
  • Zugriffskontrolle: rollenbasierte Berechtigungen, Multi-Faktor-Authentifizierung für Trainer-Accounts
  • Pseudonymisierung: Trennung von Identifizierungsdaten und sensiblen Inhalten, wo möglich
  • Backup und Wiederherstellung: regelmäßige Backups, getestete Wiederherstellungsverfahren
  • Verfügbarkeit: definierte Ausfallzeiten und Wiederanlauf
  • Auftragskontrolle: Nachweis, dass Sub-Unternehmer denselben Schutz bieten

Wichtig: TOMs müssen dokumentiert sein. Ein PDF oder eine TOM-Anlage zum AVV reicht. Eine reine "Wir sind sicher"-Aussage auf der Website ist im Streitfall wenig wert.

5. Betroffenenrechte (Art. 15–22) auf Knopfdruck

Jeder Kunde hat das Recht, jederzeit von dir zu erfahren, welche Daten du über ihn speicherst (Art. 15), eine Kopie zu erhalten (Art. 20) und die Löschung zu verlangen (Art. 17, "Recht auf Vergessenwerden"). Die DSGVO gibt dir einen Monat Zeit, um auf eine solche Anfrage zu reagieren — bei begründeter Verzögerung verlängert sich die Frist um maximal zwei weitere Monate.

Eine gute Software unterstützt diese Anfragen, indem sie den Datenexport (typischerweise als ZIP mit JSON oder PDF) auf einen Klick und die Kontolöschung auf einen Klick ermöglicht — ohne dass du als Trainer:in komplexe SQL-Queries fahren oder Support-Tickets eröffnen musst.

6. Datenschutzerklärung & Informationspflichten (Art. 13)

Spätestens beim Erstkontakt — sei es per Web-Formular, App-Registrierung oder Anamnese-Bogen — musst du den Betroffenen alle in Art. 13 aufgelisteten Informationen mitteilen. Dazu gehören: Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung, Rechtsgrundlage, Empfänger der Daten, geplante Speicherdauer, Rechte der Betroffenen und Beschwerderecht bei der Aufsichtsbehörde.

Praktischer Tipp: Eine Datenschutzerklärung sollte zwei Lese-Ebenen haben — eine kurze Zusammenfassung in einfacher Sprache, gefolgt von den juristisch genauen Details. Das erhöht die Wirksamkeit der Einwilligung und schützt dich bei Streitfällen.

Die 10-Punkte-Checkliste zum Mitnehmen

Wir haben die wichtigsten Punkte aus diesem Artikel in einer kostenlosen DSGVO-Checkliste für Personal Trainer zusammengefasst. PDF-Download, ohne Newsletter-Pflicht, ein A4-Blatt.

Wie wir das in New Prime umsetzen

Vollständige Transparenz: New Prime hostet ausschließlich in Frankfurt (Supabase EU-Region, Cloudflare-Edge in EU), der AVV ist als PDF einsehbar (AVV-PDF), die Anamnese-Funktion erzwingt eine Art-9-Einwilligung mit Versionierung und Zeitstempel, Datenexport und Kontolöschung sind 1-Klick-Operationen, und unsere Sub-Unternehmerliste ist im Datenschutz-Dokument vollständig aufgelistet (Stand 13.05.2026). Wir verzichten bewusst auf US-Drittanbieter, wo eine EU-Alternative existiert.

Wenn du New Prime testen willst — die Demo läuft ohne Anmeldung.

Häufige Fragen zu DSGVO im Personal-Training

Reicht ein EU-Server für DSGVO-Konformität?

Nein. Hosting in der EU ist eine notwendige, aber nicht hinreichende Bedingung. Du brauchst zusätzlich einen Auftragsverarbeitungsvertrag (AVV) mit deinem Anbieter (Art. 28 DSGVO), dokumentierte technisch-organisatorische Maßnahmen (TOM, Art. 32) und eine Datenschutzerklärung, die alle Verarbeitungszwecke auflistet (Art. 13).

Ist eine Anamnese ohne Einwilligung erlaubt?

Nein. Anamnese-Daten sind Gesundheitsdaten nach Art. 9 DSGVO (besondere Kategorie personenbezogener Daten). Du brauchst eine ausdrückliche, freiwillige und informierte Einwilligung pro Kunde — am besten mit Zeitstempel und Versionierung der Einwilligungs-Texte für den Audit-Trail.

Was passiert, wenn ich keinen AVV habe?

Du verstößt formal gegen Art. 28 DSGVO. Bußgelder können theoretisch bis 10 Millionen Euro oder 2 % des Jahresumsatzes betragen — Aufsichtsbehörden konzentrieren sich aber in der Regel auf größere Verstöße. Trotzdem: Ein fehlender AVV ist der häufigste Mängel bei Datenschutz-Audits und sollte priorisiert geregelt werden.

Muss ich Datenschutzbeauftragter bestellen?

Als Solo-Personal-Trainer in der Regel nicht. Pflicht besteht, wenn du mindestens 20 Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigst (§ 38 BDSG). Für Studios mit mehr als 20 Trainer-Accounts wird die Bestellung zur Pflicht — extern lösbar ab ca. 80–150 €/Monat.

Wie lange darf ich Kundendaten speichern?

Es gilt das Prinzip der Speicherbegrenzung (Art. 5 Abs. 1 e DSGVO). Vertragsdaten typischerweise 10 Jahre (HGB-Aufbewahrungspflicht), Anamnese-Daten nur so lange wie aktiv betreut wird plus angemessene Nachlauffrist. Nicht-aktive Datensätze sollten gelöscht oder anonymisiert werden.

Was sind die Top-3-Risiken bei US-Software?

(1) Datenübermittlung in Drittländer ohne Angemessenheitsbeschluss oder Standardvertragsklauseln. (2) Möglicher Zugriff von US-Behörden nach FISA 702 trotz EU-U.S. Data Privacy Framework (DPF). (3) Fehlende deutsche Auftragsverarbeitungsverträge — der Standard "Data Processing Addendum" reicht oft formal nicht aus.

Hinweis: Dieser Artikel stellt keine Rechtsberatung dar und ersetzt diese nicht. Datenschutzrecht ist komplex und einzelfallabhängig — bei konkreten Fragen wende dich an eine:n auf IT-/Datenschutzrecht spezialisierte:n Anwält:in oder den/die zuständige:n Landesdatenschutzbeauftragte:n.

Software, die DSGVO bereits eingebaut hat

New Prime ist von Grund auf nach deutschen Datenschutz-Standards entwickelt — EU-Server, AVV inklusive, Auskunft + Löschung auf Knopfdruck.

Demo testen Preise ansehen