Ein einziger EU-Bürger auf Ihrer Kundenliste genügt. Sobald eine deutsche Touristin einen Kurs in Ihrem Studio in Austin bucht oder eine niederländische Studentin sich für einen Kurs in London anmeldet, gilt die DSGVO für die Daten, die Sie über sie speichern. Das Studio liegt nicht in der EU. Die Pflicht schon.
Das hat 2018 viele Studios außerhalb der EU überrascht. 2026 lässt sich das schwerer ignorieren. Schrems II wird vollständig durchgesetzt, das EU-KI-Gesetz gilt für Hochrisikosysteme, und die Aufsichtsbehörden haben klare Leitlinien veröffentlicht, was sie von kleinen Unternehmen erwarten. Bußgelder deutlich unterhalb der schlagzeilenträchtigen 4-Prozent-Umsatzgrenze treffen inzwischen auch Studios mit 200 Mitgliedern und einem Mailchimp-Konto.
Dies ist ein praktischer Leitfaden für Studios außerhalb der EU, die auch nur eine Handvoll EU-Kunden haben. Er ersetzt keine Rechtsberatung, zeigt aber, wo wir bei Studios immer wieder Fehler beobachten.
Wann die DSGVO für Sie gilt
Artikel 3 der DSGVO kennt zwei extraterritoriale Auslöser. Sie fallen in den Anwendungsbereich, wenn Sie Personen in der EU Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten, während sie sich in der EU befinden. Ein Studio in Toronto, das einen Livestream-Kurs anbietet und von einer Kundin in Lyon eine Zahlung in Euro entgegennimmt, bietet Dienstleistungen an. Ein Studio in Brooklyn mit einer ins Deutsche übersetzten Buchungsseite und einer Domain, die auf .de endet, bietet Dienstleistungen an. Cookies, die wiederkehrende Besucherinnen und Besucher anhand von EU-IP-Adressen verfolgen, zählen als Beobachtung.
Eine Laufkundin, die bar bezahlt und sich nie anmeldet, fällt nicht in den Anwendungsbereich. Eine Laufkundin, die Ihnen ihre E-Mail-Adresse für eine künftige Kursbestätigung gibt, hingegen schon.
Entscheidend sind Absicht und Bezug, nicht Geografie. Wenn Sie bereit wären, eine Buchung von jemandem in Berlin anzunehmen, verarbeiten Sie EU-Daten, und die DSGVO gilt.
Was sich 2025-2026 geändert hat
Schrems II wird vollständig durchgesetzt
Die Übermittlung personenbezogener Daten in die Vereinigten Staaten war unter dem Privacy Shield früher unkompliziert. Dieser Rahmen wurde 2020 für ungültig erklärt. Der Nachfolger, das EU-US Data Privacy Framework, deckt nur Unternehmen ab, die sich selbst zertifiziert haben. Wenn Ihr Buchungssystem, E-Mail-Anbieter oder Zahlungsdienstleister in den USA sitzt und nicht auf dieser Liste steht, benötigen Sie Standardvertragsklauseln sowie ein Transfer Impact Assessment. Die Aufsichtsbehörden fragen bei Routinekontrollen inzwischen gezielt nach dieser Prüfung.
Das EU-KI-Gesetz kann greifen
Wenn Sie KI nutzen, um Stundenpläne zu optimieren, No-Shows vorherzusagen oder Kurse anhand des Mitgliederverhaltens automatisch vorzuschlagen, stuft das KI-Gesetz dies als Profiling mit begrenztem Risiko ein. Sie müssen dies offenlegen. Mindbodys intelligente Terminplanung, Glofox' Abwanderungsprognose und mehrere neuere Tools fallen in diese Kategorie.
Auftragsverarbeitungsverträge sind nicht mehr optional
Jeder Dienstleister, der mit Mitgliederdaten in Berührung kommt, benötigt einen unterzeichneten Auftragsverarbeitungsvertrag (Data Processing Agreement, DPA). Zahlungsdienstleister, E-Mail-Anbieter, SMS-Gateways, Kalenderintegrationen. Stripe und Resend veröffentlichen Standard-DPAs. Einige kleinere Buchungssysteme tun das noch immer nicht. Wenn Sie von einem Anbieter keinen DPA bekommen, dürfen Sie ihn rechtmäßig nicht für EU-Daten einsetzen.
Die Pflichten, die Studios am häufigsten übersehen
Rechtsgrundlage für die Verarbeitung
Sie benötigen für jeden Zweck eine konkrete Rechtsgrundlage. Die Kursbuchung stützt sich auf einen Vertrag. Der Versand der Quittung ebenfalls. Der Versand des Newsletters basiert auf Einwilligung. Das Speichern der Zahlungsdaten für das nächste Mal ebenfalls. Eine einzige Checkbox mit „Ich stimme den Bedingungen zu" deckt nicht alle vier Fälle ab.
Recht auf Datenexport innerhalb von 30 Tagen
Wenn ein Mitglied per E-Mail alle über sie gespeicherten Daten anfordert, haben Sie 30 Tage Zeit, diese in einem maschinenlesbaren Format zu liefern. JSON oder CSV sind in Ordnung. PDF nicht. Der Export muss Buchungshistorie, Zahlungs-Metadaten, das Protokoll der Marketing-Einwilligung sowie alle freien Notizen der Kursleitung enthalten.
Meldepflicht bei Datenschutzverletzungen innerhalb von 72 Stunden
Wenn Ihre Buchungsdatenbank kompromittiert wird oder Ihr Laptop mit der Mitgliederliste gestohlen wird, haben Sie 72 Stunden Zeit, die zuständige Aufsichtsbehörde zu informieren. Für ein Studio außerhalb der EU ist das die Behörde in jedem EU-Land, in dem betroffene Mitglieder leben. Sie benötigen außerdem ein dokumentiertes Verstoßregister, auch für Vorfälle, die Sie nicht melden.
Eine praktische Checkliste
- Erfassen Sie jeden Ort, an dem Mitgliederdaten liegen: Buchungssystem, E-Mail-Tool, Zahlungsdienstleister, Buchhaltungssoftware, Kalender der Kursleitung, die Tabelle auf dem Laptop am Empfang.
- Holen Sie sich von jedem dieser Anbieter einen unterzeichneten DPA. Legen Sie ihn ab.
- Prüfen Sie, wo jeder Anbieter Daten speichert. Sitzt einer in den USA und steht nicht auf der Data-Privacy-Framework-Liste, entwerfen Sie Standardvertragsklauseln.
- Formulieren Sie Ihre Datenschutzerklärung in klarer Sprache neu. Listen Sie die Rechtsgrundlage pro Zweck auf.
- Richten Sie einen Prozess ein, um Export-, Lösch- und Auskunftsanfragen innerhalb von 30 Tagen zu bearbeiten.
- Schreiben Sie einen einseitigen Notfallplan für Datenschutzverletzungen und legen Sie ihn dort ab, wo der Empfang ihn findet.
- Wenn Sie KI-Funktionen zur Terminplanung oder Verhaltensvorhersage nutzen, ergänzen Sie eine entsprechende Offenlegung.
Wie Class Booking damit umgeht
Class Booking läuft standardmäßig auf EU-Infrastruktur. Mitgliederdaten liegen in Frankfurt, Zahlungen werden von Stripe über deren EU-Gesellschaft abgewickelt, und wir unterzeichnen bei jedem Plan, einschließlich der kostenlosen Testphase, einen DPA. Das Transfer Impact Assessment zu Schrems II ist veröffentlicht und wird vierteljährlich aktualisiert. Export- und Löschfunktionen sind fest im Admin-Bereich eingebaut: Eine Mitgliederanfrage wird so zu einer Sache von zwei Klicks statt einem 30-Tage-Projekt.
Wenn Sie ein Studio in Großbritannien, den USA, Kanada oder Australien betreiben und EU-Mitglieder auf Ihrer Liste haben, müssen Sie Ihren Tech-Stack nicht neu aufbauen. Sie müssen wissen, wo die Daten liegen und wer was unterzeichnet hat.