DSGVO Personal Trainer Online: der praktische Leitfaden 2026

DSGVO ist eine dieser Pflichten, die viele Personal Trainer ignorieren bis zum ersten Problem. Dann wird es dringend. Dieser Leitfaden sagt dir, was du wirklich tun musst, um DSGVO-konform als Online-Personal-Trainer in Deutschland 2026 zu sein, ohne die Überkomplikation der juristischen Texte und ohne das falsche Alarmieren der "DSGVO-in-a-box"-Service-Verkäufer.

Die Wahrheit liegt in der Mitte: DSGVO für unabhängige Coaches ist mit 4-6 Stunden anfänglichem Setup plus etwas jährlicher Überprüfung handhabbar. Aber es muss gemacht werden.

Direkte Antwort

Für einen unabhängigen Online-Personal-Trainer in Deutschland 2026:

1. Datenschutzerklärung dem Kunden vor der Datenerhebung zu geben (Template kostenlos vom BfDI oder personalisiert mit Anwalt €100-300)
2. Explizite Einwilligung für Gesundheitsdaten (Gewicht, Maße, Fotos, Anamnese) — nicht nur für identifizierende Daten
3. EU-Hosting der Kundendaten — EU-hosted Tools (FitSuite, PT Distinction, Nutrium) oder DSGVO-Bewertung für US-Tools (Trainerize, MyFitnessPal)
4. Dokumentiertes Löschverfahren auf Kundenanfrage (Antwort innerhalb 30 Tagen)
5. Dokumentierte Aufbewahrung für 10 Jahre (Rechnungsstellung) und 5 Jahre post-Vertragsende (Coaching-Daten)

Für Coaches mit Minderjährigen oder Profisportlern ist das Schutzniveau höher. Für Coaches mit 500+ Kunden lohnt es sich, dedizierte Anwaltsberatung zu konsultieren.

Die Daten, die du sammelst (und die unter DSGVO fallen)

Für einen Online-Personal-Trainer teilen sich die typischen Kundendaten in drei Kategorien:

Identifizierende Daten: Vorname, Nachname, Email, Telefon, Adresse, Steuernummer (für Rechnungsstellung). Standard-DSGVO-Schutz.

Gesundheitsdaten (Art. 9 DSGVO): Gewicht, Körpermaße, Fortschrittsfotos, medizinische Anamnese, erklärte Pathologien, Ernährungsgewohnheiten, Menstruationszyklus (wenn relevant), Fitness-Tests. Verstärkter DSGVO-Schutz — erfordern explizite Einwilligung.

Zahlungsdaten: Kartendaten oder Bankverbindung. Wenn direkt verwaltet, verstärkter Schutz (meist an Stripe/PayPal delegiert, die ihre eigenen Schutzmaßnahmen haben).

Gesundheitsdaten sind der kritische Punkt. Praktisch alle Daten, die ein Coach als normaler Arbeitsteil sammelt (Gewicht, Fotos, Anamnese), fallen unter Art. 9 DSGVO. Das bedeutet, dass explizite rechtliche Grundlagen für die Verarbeitung nötig sind — die generische Einwilligung "ich akzeptiere die Privacy Policy" reicht nicht.

Die 5 Schritte zur Konformität

Schritt 1 — Datenschutzerklärung

Dokument, das der Kunde liest, bevor er dir Daten gibt. Muss enthalten:

• Verantwortlicher: du, mit Name, Steuernummer, Adresse, Email, Telefon
• Datentypen erhoben: identifizierende + Gesundheits + Zahlung
• Zwecke: Coaching-Erbringung, Kommunikation, Rechnungsstellung, eventueller Newsletter-Versand
• Rechtsgrundlage: Vertrag (für Coaching) + explizite Einwilligung (für Gesundheitsdaten)
• Speicherzeiten: 10 Jahre (Rechnungsstellung, Steuerpflicht), 5 Jahre post-Vertragsende (Coaching-Daten)
• Kundenrechte: Auskunft, Berichtigung, Löschung, Übertragbarkeit, Widerspruch, Beschwerde beim BfDI
• Eventuelle Drittländer-Transfers: wenn du US-Tools verwendest (Trainerize, MyFitnessPal), muss erklärt + Hinweis auf Standard Contractual Clauses
• Auftragsverarbeiter: der Anbieter der Coaching-Plattform, die du verwendest (FitSuite SRL für FitSuite, ABC Fitness Solutions für Trainerize, etc.)

Kostenlose Templates auf BfDI-Website verfügbar. Für Personalisierung Anwalt (€100-300 einmalig).

Schritt 2 — Explizite Einwilligung für Gesundheitsdaten

Die Datenschutzerklärung wird übergeben; die Einwilligung wird eingeholt. Für Gesundheitsdaten braucht es explizite Einwilligung — nicht implizit ("ich akzeptiere die Privacy"), sondern explizit ("ich willige in die Verarbeitung meiner Gesundheitsdaten für Coaching-Zwecke ein").

Akzeptierte Modalitäten:

• Separate Checkbox im Onboarding-Formular ("Ich willige in die Verarbeitung von Gesundheitsdaten ein")
• Unterschrift auf Papier- oder digitalem Formular
• Explizite Bestätigung per nachverfolgter Email

Wichtig: die Einwilligung muss granular sein. Wenn du sowohl Gesundheitsdaten als auch Einwilligung für Marketing-Newsletter sammelst, sind das zwei separate Einwilligungen.

Schritt 3 — EU-Hosting der Kundendaten

Die Kundendaten müssen auf Servern mit adäquaten DSGVO-Schutzmaßnahmen sein. Drei Situationen:

EU-Hosting (saubere Situation): Plattformen mit Servern in europäischem Territorium + öffentliche DPA. Beispiele: FitSuite (EU-hosted by design), PT Distinction (UK, DSGVO-konform), Nutrium (Portugal). Für diese ist der Compliance-Aufwand minimal.

US-Hosting mit SCC (handhabbare Situation): US-Plattformen, die Standard Contractual Clauses für Drittländer-Transfer anwenden. Beispiele: Trainerize, MyFitnessPal Pro, Practice Better. Für diese muss in der Datenschutzerklärung erklärt + SCC verifiziert + Risiko bewertet werden (höher für Minderjährige und Sportler).

US-Hosting ohne klare SCC (riskante Situation): manche kleinere Tools haben keine öffentliche DPA oder explizite SCC. Für Gesundheitsdaten nicht empfehlenswert.

WhatsApp fällt in die dritte Kategorie — die Datenverarbeitung läuft über Meta/US-Server ohne klare DPA für professionellen B2C-Einsatz. Für Coaches mit einwilligenden erwachsenen Kunden ist das Risiko niedrig; für Minderjährige und Profisportler steigt das Risiko signifikant.

Schritt 4 — Löschverfahren

Der Kunde hat das Recht, die Löschung seiner Daten zu verlangen. Du musst:

• Innerhalb 30 Tagen auf die Anfrage antworten
• Die Daten löschen überall wo sie gespeichert sind (Coaching-Plattform, Email, Rechnungssystem, lokale Kopien)
• Die Löschung dokumentieren (Datum, Bestätigung an Nutzer)
• Ausnahme: Daten mit gesetzlicher Aufbewahrungspflicht (Rechnungen, 10 Jahre) werden NICHT gelöscht. Sie werden behalten, aber nicht für andere Zwecke als steuerliche Aufbewahrung verwendet.

Praktisches Verfahren: Dokument "Anfragen-Management-Politik" mit den Schritten. Dedizierte Email zum Empfang der Anfragen (z.B. [email protected]). Antwort-Template bereit.

Schritt 5 — Verarbeitungsverzeichnis

Für unabhängige Coaches mit regelmäßigen Kunden ist das Verarbeitungsverzeichnis empfohlen, auch wenn nicht immer obligatorisch. Internes Dokument, das auflistet:

• Welche Datenkategorien du verarbeitest
• Für welche Zwecke
• Mit welchen Tools
• Wie lange
• An wen sie kommuniziert werden

Tool: einfache Excel- oder Word-Datei, jährlich aktualisiert. Der BfDI fordert es bei Prüfung.

Häufige Fehler von Anfänger-Coaches

Fehler 1 — Generische "Privacy akzeptieren"

Den Kunden eine generische Einwilligung wie "Ich akzeptiere die Bedingungen und die Privacy" unterschreiben zu lassen reicht nicht für Gesundheitsdaten. Es braucht explizite, granulare, für verschiedene Zwecke separate Einwilligung.

Fehler 2 — US-Hosting ohne Erklärung

Trainerize oder MyFitnessPal verwenden, ohne in der Datenschutzerklärung zu erklären, dass die Daten über US-Server laufen und ohne explizite SCC. Bei Beschwerde ist es ein exponierter DSGVO-Verstoß.

Fehler 3 — Fortschrittsfotos ohne spezifische Einwilligung

Fortschrittsfotos sind besondere biometrische/Gesundheitsdaten. Es braucht explizite Einwilligung für die Erhebung, und weitere separate Einwilligung, wenn du sie in Marketing-Inhalten verwenden willst (auch anonymisiert).

Fehler 4 — WhatsApp als Hauptkanal für Minderjährige

Für Coaches, die mit Minderjährigen arbeiten (unter 16 Jahren — die deutsche DSGVO-Umsetzung schreibt 16 Jahre als Mindestalter für eigene Einwilligung), hat die Kommunikation via WhatsApp spezifische Minderjährigenschutz-Implikationen. Die dedizierten Coaching-Plattformen mit In-App-Chat verwalten diesen Aspekt besser.

Fehler 5 — Kein Antwortverfahren für DSGVO-Anfragen

Der Kunde fragt "ich will meine Daten löschen". Du hast 30 Tage zum Antworten und Löschen. Wenn du kein Verfahren bereit hast, findest du dich in Panik und Risiko der Fristverletzung.

Die richtige Plattform reduziert den Aufwand drastisch

Drei Dinge, die eine Coaching-Plattform mit EU-Hosting + DSGVO by design dir spart:

EU-Hosting built-in: keine Standard Contractual Clauses, keine Drittländer-Transfer-Bewertung. FitSuite, PT Distinction, Nutrium haben EU-Hosting by default.

Öffentliche und unterzeichenbare DPA: das Data Processing Agreement ist verfügbar, unterzeichnet, archiviert. Bei Prüfung zeigst du es.

Integrierte DSGVO-Funktionen: Datenlöschung auf Anfrage, Datenexport für Übertragbarkeit, Zugriffsprotokoll, granulare Einwilligung in Kunden-Onboarding-Phase.

Für Coaches, die FitSuite oder ähnliche Plattformen verwenden, ist der DSGVO-Aufwand auf 20% dessen reduziert, was mit US-Tools + Workarounds wäre. Es lohnt die Kostenüberlegung: Preisunterschied €0-30/Monat zwischen EU- und US-Optionen, aber signifikanter Unterschied im Verwaltungsaufwand.

Zusammenfassung

Für unabhängige Online-Personal-Trainer in Deutschland 2026 erfordert DSGVO-Konformität: strukturierte Datenschutzerklärung, explizite Einwilligung für Gesundheitsdaten, EU-Hosting für Kundendaten, dokumentiertes Löschverfahren, Verarbeitungsverzeichnis für Coaches mit regelmäßigen Kunden.

Der Aufwand ist mit 4-6 Stunden anfänglichem Setup (Anwalt, €100-300) + jährlicher Überprüfung handhabbar. Die EU-hosted Coaching-Plattformen mit DSGVO by design (FitSuite, PT Distinction, Nutrium) reduzieren die Komplexität drastisch — das Gegenteil von US-Tools, die SCC und Transfer-Bewertungen erfordern.

Für Coaches mit Minderjährigen, Profisportlern oder über 500 Kunden ist dedizierte Anwaltsberatung empfohlen. Für die meisten unabhängigen Coaches mit 20-150 erwachsenen Kunden ist Selbstständigkeit mit guten Tools realistisch.

FitSuite hat EU-Hosting by design, öffentliche DPA, granulare Einwilligung im Onboarding, integrierte Datenlöschung, Export für Übertragbarkeit. Ab €50/Monat im Standard-Plan.

Weiterlesen: Wie Online Personal Trainer werden | Gewerbeanmeldung Personal Trainer Kleinunternehmer | Berufshaftpflicht Personal Trainer Deutschland | Wie man Check-ins mit Online-Coaching-Kunden macht