Zum Inhalt springen
← Zum Blog

Recht & Steuern

DSGVO für Kursanbieter: Pflichten, Software & Checkliste 2026

Christoph MorosoliGründer, easybook.studio3. Juli 20263 Min. Lesezeit

Wer Kurse anbietet, verarbeitet personenbezogene Daten – Namen, E-Mail-Adressen, Buchungen, Zahlungsdaten, oft auch Gesundheitshinweise (Schwangerschaft, Verletzungen). Damit fällt jedes Studio unter die DSGVO. Dieser Leitfaden erklärt praxisnah, welche Pflichten gelten, worauf Sie bei der Auswahl Ihrer Software achten müssen und wie Sie mit einer überschaubaren Checkliste auf der sicheren Seite sind.

Hinweis: Dieser Beitrag ist eine allgemeine Orientierung und keine Rechtsberatung. Für die verbindliche Bewertung Ihres Einzelfalls ziehen Sie eine:n Datenschutzberater:in oder Anwält:in hinzu.

Welche Daten verarbeiten Kursanbieter?

Schon ein kleines Studio verarbeitet überraschend viele Datenkategorien:

  • Stammdaten: Name, Adresse, E-Mail, Telefon.
  • Vertragsdaten: Buchungen, Pakete, Abos, Teilnahmehistorie.
  • Zahlungsdaten: Karten- bzw. SEPA-Mandatsdaten (in der Regel über den Zahlungsdienstleister).
  • Besondere Kategorien (Art. 9 DSGVO): Gesundheitsbezogene Angaben (z. B. Schwangerschaft im Rückbildungskurs, Verletzungen). Diese genießen besonderen Schutz – erheben Sie nur, was wirklich nötig ist.

Die wichtigsten Pflichten im Überblick

1. Rechtsgrundlage (Art. 6 DSGVO)

Jede Verarbeitung braucht eine Rechtsgrundlage. Für die Buchungsabwicklung ist das in der Regel die Vertragserfüllung (Art. 6 Abs. 1 lit. b). Für Newsletter brauchen Sie dagegen eine Einwilligung (lit. a) – ein vorab angekreuztes Kästchen reicht nicht.

2. Datenschutzerklärung

Auf Website und im Buchungsprozess muss eine verständliche Datenschutzerklärung erreichbar sein: Wer verarbeitet was, auf welcher Grundlage, wie lange, und welche Rechte haben Betroffene?

3. Auftragsverarbeitungsvertrag (AVV)

Sobald ein Dienstleister in Ihrem Auftrag Daten verarbeitet – Ihre Buchungssoftware, Ihr Zahlungsdienstleister, Ihr Newsletter-Tool – brauchen Sie einen AVV nach Art. 28 DSGVO. Ohne AVV ist die Weitergabe der Daten nicht zulässig.

4. Technische und organisatorische Maßnahmen (TOM)

Verschlüsselung (SSL/TLS), Zugriffsbeschränkungen, Backups, Löschkonzepte – diese Maßnahmen müssen Sie treffen und dokumentieren.

5. Betroffenenrechte

Teilnehmer:innen haben ein Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17) und Datenübertragbarkeit (Art. 20). Sie müssen solche Anfragen fristgerecht (i. d. R. innerhalb eines Monats) beantworten können.

6. Löschfristen

Daten dürfen nicht „für immer" gespeichert werden. Nach Vertragsende sind personenbezogene Daten zu löschen oder zu anonymisieren – außer gesetzliche Aufbewahrungspflichten greifen (z. B. Rechnungen: 10 Jahre nach Steuerrecht).

Worauf Sie bei der Software achten sollten

Ihre Buchungssoftware ist der zentrale Ort, an dem Teilnehmerdaten zusammenlaufen. Prüfen Sie:

  • Hosting in der EU. Werden die Daten innerhalb der EU gespeichert? easybook.studio hostet ausschließlich auf EU-Servern in Frankfurt.
  • AVV inklusive. Stellt der Anbieter automatisch einen AVV nach Art. 28 bereit? Bei easybook.studio kommt der AVV mit der Nutzung zustande.
  • Verschlüsselung. Sind alle Übertragungen per SSL/TLS geschützt?
  • Datensparsamkeit. Werden nur die wirklich nötigen Felder erhoben?
  • Export & Löschung. Können Sie Daten auf Anfrage exportieren und gezielt löschen, um Betroffenenrechte zu erfüllen? easybook.studio bietet beides.
  • Zahlungen. Seriöse Dienstleister wie Stripe arbeiten mit Standardvertragsklauseln (SCC) und PCI-DSS-Level-1 – die Kartendaten landen gar nicht erst in Ihrer Datenbank.

Einen vollständigen Überblick über die Datenschutz-Funktionen finden Sie auf der Seite DSGVO-konforme Buchungssoftware.

Die DSGVO-Checkliste für Studios

  • Datenschutzerklärung auf Website und im Buchungsprozess
  • Separate, aktive Einwilligung für den Newsletter
  • AVV mit Buchungssoftware, Zahlungsdienstleister und allen weiteren Auftragsverarbeitern
  • Verzeichnis von Verarbeitungstätigkeiten (Art. 30)
  • Technische und organisatorische Maßnahmen dokumentiert
  • Löschkonzept mit Fristen (inkl. steuerlicher Aufbewahrung)
  • Prozess für Auskunfts-, Lösch- und Berichtigungsanfragen
  • Besondere Vorsicht bei Gesundheitsdaten (Art. 9)

Fazit

DSGVO-Konformität ist für Kursanbieter kein Hexenwerk, aber auch kein Punkt zum Aufschieben. Der Großteil lässt sich mit einer sauberen Datenschutzerklärung, korrekten AVVs und einem datensparsamen, EU-gehosteten Software-Stack erledigen. Wählen Sie Werkzeuge, die Datenschutz von Haus aus mitbringen – dann erfüllen Sie viele Anforderungen automatisch und können sich auf Ihre Kurse konzentrieren. Für die verbindliche Bewertung Ihres Einzelfalls bleibt der fachkundige Rat aber unersetzlich.

Buchung, Pakete und Zahlungen an einem Ort

easybook.studio übernimmt Online-Buchung, Kurspakete, Abos und Zahlungen per Karte und SEPA — Flatrate ab 2,50 €/Monat, ohne Buchungsprovisionen.

Preise ansehen