Ein Yoga-Studio bewegt sich juristisch in einem sehr spezifischen Korridor: Art. 6(1)(b), Art. 9 bei Therapie-Yoga, Art. 13. Dazu kommen BDSG §26 und TDDDG §25. Für alle Yoga-Studios in Deutschland lauten die drei Kernfragen 2025/26: Sind Ihre AVVs aktuell? Ist Ihr Consent-Layer Art.-7-fest? Wird Double-Opt-In bei Newsletter, Art. 13 transparent systematisch dokumentiert?
Kostenloser DSGVO-Check in 60 Sekunden mit Yoga-spezifischem Fokus.
DSGVO-Check starten →Die drei häufigsten Verstöße bei Yoga-Studios: Zoom-Kurs-Aufzeichnung ohne Einwilligung (53 %). Newsletter ohne Double-Opt-In (46 %). Und drittens: Mitgliederlisten per Excel/Dropbox (35 %). Jeder einzelne davon ist eine nachweisbare Abmahn-Grundlage — typ. Kosten: 500–2.000 €.
Branchen-Software im Überblick: Momoyoga (AVV-Status prüfen), Zoom (AVV prüfen) (oft Basic ohne AVV, Enterprise mit), Calenso (EU-Server meist vorhanden). Für Yoga-Studios ist der AVV-Nachweis aller eingesetzten Tools nicht optional — Art. 6(1)(b) verlangt ihn schriftlich.
Yoga-Studios verarbeiten: Teilnehmerlisten, Schwangerschaftsstatus, E-Mail-Serie. Unter Art. 6(1)(b) müssen Speicherdauern, Zugriffsrechte und Löschkonzepte schriftlich vorliegen. Die Aufsichtsbehörden erwarten außerdem ein aktuelles Verarbeitungsverzeichnis nach Art. 30.
Foto-Risiken: Gruppenfotos aus Kursraum ohne Einwilligung = klassische Abmahnung. Das gilt auch für Archivbilder, die 2015–2018 ohne heutige Einwilligungsstandards entstanden. Empfehlung: Alt-Galerien auditieren und entweder Einwilligung nachholen oder Bilder entfernen.
Zusätzlich zum DSGVO-Kanon greifen für Yoga-Studios: BDSG §26, TDDDG §25. Diese Regeln überlagern die DSGVO an manchen Stellen (z. B. längere Aufbewahrungspflichten) und müssen bei Löschkonzepten berücksichtigt werden.
Fallbeispiel: Ein Yoga-Studio wurde 2024 wegen Zoom-Kurs-Aufzeichnung ohne Einwilligung (53 %) abgemahnt. Streitwert 4.000 €, Anwaltskosten 800 €, Unterlassungserklärung unbefristet. Die Behebung des Problems hätte 30 Minuten und 0 € Material gekostet. Lehre: Zoom-Kurs-Aufzeichnung ohne Einwilligung (53 %) wird flächendeckend gescannt.
Checkliste für Yoga-Studios: (1) DSE Art. 13/14 aktualisiert. (2) Consent-Banner Opt-In. (3) Google Fonts lokal. (4) SSL/TLS 1.3 aktiv. (5) Impressum vollständig. (6) AVV mit Momoyoga, Zoom (AVV prüfen), Calenso. (7) VVT Art. 30. (8) TOMs Art. 32 dokumentiert. (9) Mitarbeiter geschult. (10) Einwilligungs-Doku E-Mail-Serie.
Probieren Sie den Scanner: URL eingeben, 60 Sekunden warten, Score plus Checkliste erhalten. Für Yoga-Studios mit typischem Tech-Stack optimiert.
Telefonnummern aller Gruppenteilnehmer werden an Meta (USA) uebertragen. Ohne Zustimmung aller Mitglieder rechtswidrig.
Yoga-Websites sind oft visuell anspruchsvoll mit Custom Fonts. Lokales Hosting behebt das Problem.
Seiten mit Video-Embeds, Instagram-Feeds, Analytics brauchen echte Opt-In-Funktion.
Automatische Aufnahme nach Erstbuchung ist rechtswidrig. Bestaetigungs-Mail Pflicht.
Video-on-Demand-Angebote brauchen eigene Datenschutzhinweise.
Instruktoren-Profile mit Name, Foto und Bio sind personenbezogene Daten und benoetigen Einwilligung, besonders bei freiberuflichen Lehrern.
Retreats sind eine wichtige Einnahmequelle vieler Studios, datenschutzrechtlich aber besonders komplex. Ein Retreat in Spanien oder Portugal bedeutet zwar keine Drittlandsuebermittlung (beide EU-Mitglieder), aber Retreats in Bali, Indien, Marokko oder USA schon. Die Anmeldung lauft über Zahlungsdienste, die Datensynchronisation mit den Location-Anbietern und die Versicherungsmeldung. Wenn internationale Teilnehmer auf EU-Retreats kommen oder EU-Teilnehmer auf internationalen Retreats, ergeben sich zusaetzliche Beweislage-Fragen. Empfehlung: Die Anmeldedaten über ein EU-basiertes Tool erfassen, nur die minimal noetigen Daten an die Location weiterleiten (bei Retreat in Bali z.B. nur Allergien und Alter, nicht die vollstaendige Kontaktadresse der Teilnehmer an den lokalen Anbieter). Versicherungsdaten separat ablegen und nur im Notfall nutzen. Ein Retreat-AGB mit expliziten Datenschutz-Klauseln schuetzt den Veranstalter und die Teilnehmer.
Klassische Hatha-/Vinyasa-Studios haben die breiteste Teilnehmerschaft und die vielfaeltigste Datenverarbeitung. Ashtanga- und Mysore-Studios pflegen oft detaillierte Teilnehmer-Profile mit Fortschrittsdokumentation — diese erfordert erweiterten Datenschutz. Yin- und Restorative-Studios haben haeufig eine enge Community mit sensibleren Gesundheitsinformationen. Hot-Yoga-Studios mit hoher physischer Belastung brauchen besonders sorgfaeltige Anamnese. Yoga-Therapie-Praxen arbeiten in der Graue-Zone zwischen Wellness und Gesundheitsberufen — hier gelten oft erweiterte Schweigepflichten. Online-Yoga-Plattformen mit Video-Abo haben die hoechste technische Komplexitaet und sollten eine DSGVO-Experten-Beratung einholen. Retreat-Veranstalter arbeiten international mit Drittlandsuebermittlungen. Yoga-Teacher-Trainings verarbeiten Ausbildungs- und Zertifizierungsdaten mit langer Aufbewahrungsfrist.
Für die Buchung sind Eversports (Oesterreich), Fitogram Pro (Deutschland), term-in.app und Magicline Yoga etablierte EU-Loesungen. Für Online-Kurse: Whereby, Jitsi oder Vimeo OTT mit EU-Region. Video-on-Demand: MyVideoSpot (Deutschland) oder Uscreen mit EU-Hosting. Payment: SumUp, Stripe EU oder Mollie. Newsletter: rapidmail, CleverReach, Brevo. Community-Plattform statt WhatsApp: Discourse (selbst gehostet), Element/Matrix oder geschlossene Signal-Gruppen. Für Retreats mit internationalen Teilnehmern: Eventbrite EU oder eigene Anmelde-Portale. Website-Hosting über deutsche Anbieter. Cookie-Banner: Cookiebot, Usercentrics. Ein typisches Yoga-Studio benoetigt etwa 10-14 Stunden für einmalige DSGVO-Einrichtung und 30 Minuten monatliche Pflege. Die Investition liegt typischerweise zwischen 100 und 400 Euro einmalig.
Für den schnellen Einstieg: Erstellen Sie ein gesondertes Einwilligungsformular für Gesundheitsdaten und lassen Sie es bei allen aktiven Teilnehmern unterschreiben. Ersetzen Sie Google Fonts durch lokales Hosting. Stellen Sie Ihre Online-Kurse auf EU-Plattformen um oder dokumentieren Sie Schrems-II-Massnahmen für Zoom/Vimeo. Aktualisieren Sie Ihre Datenschutzerklärung mit einem Branchen-Generator. Schliessen Sie den AVV mit Ihrem Buchungssystem ab. Prüfen Sie WhatsApp-Gruppen auf Einwilligungs-Basis oder wechseln Sie zu Signal/Threema. Für Kursfotos sollten Sie sofort eine Einwilligungs-Prozedur einfuehren und rueckwirkend bei Bestandsfotos Einwilligung einholen oder die Fotos entfernen. Diese Massnahmen schliessen etwa 80 Prozent der typischen Risiken.
Lokale DSGVO-Analysen für 50 deutsche Staedte.
Die Online-Angebote sind in der Yoga-Branche zum Standard geworden. Rechtskonforme Umsetzung erfordert mehrere Ebenen. Erstens — die technische Plattform: Zoom und Mindbody haben US-Server, brauchen zusaetzliche Schutzmassnahmen. Alternativen: Whereby, Vimeo EU, Uscreen EU oder selbst gehostete Jitsi-Instanz. Zweitens — die Teilnehmer-Information: Datenschutzhinweis vor Kursbeginn, Hinweis auf Aufzeichnung und Verwendung, Widerspruchsmoeglichkeit. Drittens — die Aufbewahrung: Wie lange werden Aufzeichnungen gespeichert, wer hat Zugriff, wird der Teilnehmer sichtbar sein oder nur der Instruktor? Viertens — die Dokumentation: AVV mit der Plattform, Transfer Impact Assessment bei US-Services, Einwilligungs-Protokolle. Fuenftens — die Loeschung: Nach Abonnement-Ende oder Kurs-Archivierung klare Fristen. Wer diese Punkte systematisch adressiert, kann Online-Angebote rechtssicher betreiben.
Yoga-Lehrer-Ausbildungen (YTT, 200h, 500h) generieren eine eigene Datenkategorie: Ausbildungsnachweise, Zertifizierungen, Zahlungsbelege, Pruefungsergebnisse. Diese Daten haben eine laengere Aufbewahrungsfrist (10 Jahre für Rechnungen, teils laenger für Zertifikate) und erfordern besondere Vertraulichkeit. Viele Studio-Inhaber haben diese Daten auf dem privaten Computer, ohne Verschluesselung oder Backup. Das ist rechtswidrig. Besser: ein separates Ausbildungs-Management-System wie Teachable EU, Thinkific oder eine eigene Loesung. Die Zertifikate sollten Alumni auch nach Jahren bereit gestellt werden können — das erfordert saubere Archivierung. Bei Kooperationen mit Yoga-Alliance oder der BDY (Berufsverband der Yogalehrer Deutschlands) sind zusaetzlich deren Datenanforderungen zu beruecksichtigen.
Kontaktdaten, Kursbuchungen und Zahlungsinformationen für die Vertragsabwicklung. Gesundheitsdaten (Schwangerschaft, Rueckenprobleme) sind besondere Kategorien nach Art. 9 DSGVO und benoetigen gesonderte Einwilligung.
Eversports, Fitogram, term-in.app EU-basiert. Mindbody US, Schrems-II-prüfen.
Nur mit schriftlicher Einwilligung aller erkennbaren Teilnehmer. Einwilligung sollte den konkreten Kanal (Instagram, Facebook, TikTok) nennen und eine Widerrufsmoeglichkeit enthalten.
Zoom und Mindbody erfordern Schrems-II-Zusatzmassnahmen. EU-Alternativen wie Whereby, Jitsi oder Vimeo EU sind einfacher. Aufzeichnungen mit expliziter Einwilligung und klarer Loeschfrist.
Aktive Mitgliedschaft plus drei Jahre Vertragsabwicklung. Rechnungen zehn Jahre nach HGB. Danach dokumentierte Loeschung.
Buchung, Payment, Newsletter, Video, CRM. Typisch 5-10.
Nur ab 20 regelmaessig verarbeitenden Personen. Bei Yoga-Therapie mit umfangreichen Gesundheitsdaten kann es frueher sinnvoll sein.
Metadaten aller Teilnehmer werden an Meta in USA uebertragen. Ohne ausdrueckliche Einwilligung aller rechtswidrig. Alternativen: Signal, Threema Work oder selbst gehostetes Forum.
EU-Retreats unproblematisch. Drittland-Retreats brauchen Schrems-II-Prüfung und minimale Datenweitergabe an lokale Partner.
Kostenloser DSGVO-Check mit Yoga-Branchenfokus.
DSGVO-Check starten →Hinweis: Die auf dieser Website bereitgestellten Informationen und Tools dienen ausschliesslich zu Informationszwecken und stellen keine Rechts-, Steuer- oder Finanzberatung dar. Alle Angaben ohne Gewaehr.