Datenschutz und Datenschutzerklärung im Fitnessstudio – mehr als nur ein Dokument auf der Website
11. August 2022
Lesedauer: 5:00 Minuten
Viele Studiobetreiber haben sich bisher nur unzureichend oder gar nicht um den Datenschutz für ihre Mitglieder und Mitarbeiter ihres Fitnessstudios gekümmert. Die meisten Betreiber belassen es bei der Datenschutzerklärung für die Website des Studios. Diese ist natürlich wichtig, aber viele vergessen dabei total, dass bei der Anmeldung und der
Erstellung von Trainingsplänen für die Mitglieder, aber auch bei der
Gehaltsabrechnung von Mitarbeitern, personenbezogene Daten verarbeitet werden.
Die Erhebung, Bearbeitung und Speicherung von personenbezogenen Daten muss nach den Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) erfolgen und die Mitglieder über die Datenschutzerklärung informiert werden, sonst drohen Bußgelder.
In diesem Artikel gebe ich zunächst eine kurze Einführung zum Thema Datenschutz und erläutere dann, worauf du als Betreiber eines Fitnessstudios besonders achten musst, um die Haftung auszuschließen. Zum Schluss zeige ich dir, wie du in nur 7 Schritten dein Studio DSGVO-konform machst.
Wen betrifft die DSGVO?
Die DSGVO gilt für jedes Unternehmen und bildet die Rechtsgrundlage für die Datenverarbeitung. Damit sind sowohl große Fitnessstudios, als auch kleine Boutique-Studios verpflichtet, die Vorgaben der DSGVO und des deutschen Bundesdatenschutzgesetzes (BDSG) zu beachten.
Laut DSGVO haftet der „Verantwortliche“ dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften der Verordnung eingehalten werden. Als „Verantwortlicher” gilt jede natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit gemeint sind Entscheidungsträger wie der Geschäftsführer einer GmbH oder aber auch der Studioleiter, wenn er Entscheidungen treffen darf, die die Datenverarbeitung betreffen (z.B. Löschung von Mitgliederdaten).
Die DSGVO und das BDSG müssen immer dann beachtet werden, wenn im Studio personenbezogene Daten verarbeitet werden. Andernfalls drohen hohe Geldbußen und bürokratischer Aufwand.
Unter
personenbezogenen Daten fallen alle Informationen über eine natürliche Person, die diese identifizierbar machen. Dazu zählen Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usw., aber insbesondere auch genetische Daten und Gesundheitsdaten. Dies sind alles Daten die auch im Fitnessstudio anfallen.
Vorsicht im Umgang mit Gesundheitsdaten
Zu den Gesundheitsdaten zählen alle Angaben, die den Gesundheitszustand einer Person betreffen. Die DSGVO bezeichnet diese als „besondere Kategorien von personenbezogenen Daten“. Als solche müssen die Gesundheitsdaten besonders geschützt werden. Da bedeutet auch, dass du von dem Mitglied eine extra Einwilligung für die Nutzung und Verarbeitung dieser Daten brauchst.
Als Trainern und Studioinhaberin werden in Bezug auf die Datenschutzerklärung von dir viel Fingerspitzengefühl und weitreichende Überlegungen erwartet. So haben sich bisher nur wenige Inhaber von Fitnessstudios darüber Gedanken gemacht, dass der
BMI eines Mitglieds, welcher aus der Körpergröße und dem Gewicht ermittelt wird, zusammen mit dem Namen einen
besonders zu schützenden Gesundheitswert im Sinne der DSGVO darstellt.
Auch bei der Anamnese im Eingangsgespräch werden zum Teil hochsensible Daten wie Vorerkrankungen oder Unverträglichkeiten erfasst. Wer als Reha-Sportzentrum anerkannt ist, erhält die Gesundheitsdaten sogar direkt vom Arzt.
Achtung Haftungsfalle
Wer sich noch nicht mit dem Thema Datenschutz beschäftigt hat, besitzt von seinen Mitgliedern auch meist keine Einwilligung für die Erhebung, Speicherung und Verarbeitung von Gesundheitsdaten.
PRAXISTIPP: Am einfachsten wäre es, sich die Einwilligung bereits zusammen mit dem Mitgliedsantrag geben zu lassen. In den Mitgliedervertrag sollte daher folgende Klausel aufgenommen werden:
„Ich willige ein, dass das Studio XY meine Gesundheitsdaten und biometrischen Daten zum Zwecke der Trainingsunterstützung verarbeitet.“
Ziel der DSGVO ist es, den Datenschutz auch in Fitnessstudios deutlich zu erhöhen. Fehlt es an einer solchen erforderlichen Einwilligung zur Verarbeitung der entsprechenden Daten drohen bei einer Kontrolle durch den Landesdatenschutzbeauftragten (z.B. alarmiert durch einen Konkurrenten) hohe Bußgelder. Hast Du die Einwilligung zur Datenverarbeitung hingegen eingeholt, bist Du rechtlich abgesichert.
Wann darf ich Daten erfassen?
Die Regel ist ganz einfach: Entweder es gibt eine Gesetz, das dir erlaubt Daten zu verarbeiten oder du hast eine Einwilligung von dem Mitglied eingeholt. Dazu musst du die Mitglieder deines Fitnessstudios vorher aber über eine gesonderte Datenschutzerklärung über die konkrete Datenverarbeitung informiert haben. Hast du weder das eine noch das andere, darfst du keine Daten verarbeiten und musst bereits erfasste Daten löschen.
Die DSGVO gibt dir aber auch eine ganze Reihe von
Rechten, damit du die Daten der Mitglieder auf einer sicheren rechtlichen Grundlage nutzen und speichern kannst. So ist z.B. die Datenverarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen immer erlaubt (Art. 6 Abs. 1 lit.b DSGVO). Das bedeutet, dass du alle
Daten aus den Mitgliederverträgen, die du für die Mitgliederverwaltung brauchst, verarbeiten darfst. Dies gilt auch für die Erhebung von Daten bei einem
Probetraining, bei dem noch kein Vertrag besteht (sog. vorvertragliche Maßnahmen).
Zusätzliche Datenschutzerklärung notwendig
Du hast aber auch die Pflicht, deine Mitglieder umfassend darüber zu informiert, welche Daten du für welchen Zweck erhebst (Informationsrecht), damit sie entscheiden können, ob sie ihre Daten zur Verfügung stellen wollen. Dieser Informationspflicht kommst du am geschicktesten nach, wenn du neben der Datenschutzerklärung für die Benutzung der Website noch eine weitere Datenschutzerklärung für die Mitgliedschaft im Studio erstellst und die Informationen dort hinterlegst.
Aus dieser zusätzlichen Datenschutzerklärung leitet sich dann auch ein nachträglicher Auskunftsanspruch der Mitglieder ab. Jedes Studio muss jederzeit nachweisen können, wie das geltende Datenschutzrecht umgesetzt wird und in der Lage sein auf Verlangen die folgenden Fragen zu beantworten:
- Welche Daten hast du von mir?
- Wo hast du meine Daten her?
- Was machst Du damit?
- An wen hast du sie weitergegeben?
DSGVO: Die Schonfrist ist vorbei
Dabei trifft es nicht nur die Großen. Die Fitnessstudios Body Tonic und Gerco Fit mussten jeweils € 2.000,00 bezahlen, weil sie sich nicht darum gekümmert haben, die Mitgliederdaten DSGVO-konform zu verarbeiten.
Mittlerweile schauen die Datenschutzbehörden immer genauer hin, ob Unternehmen die DSGVO einhalten. Vertraue nicht länger auf „wird schon gutgehen“ und sichere dich auch im Datenschutz bzw. mit einer umfassenden Datenschutzerklärung rundum ab.
ACHTUNG: Meistens ist es der Landesdatenschutzbeauftragte deines Bundeslandes, als zuständige Aufsichtsbehörde, der die Überprüfung vornimmt. Dazu kann es kommen, wenn du zufällig ausgewählt wirst, aber auch wenn ein (ehemaliges) Mitglied oder ein Konkurrent eine Beschwerde gegen dein Studio eingereicht hat.
In 7 Schritten zu mehr Rechtssicherheit im Datenschutz
Die DSGVO verpflichtet dich als Studiobetreiber dazu, deine vorhandenen Prozesse zum Datenschutz zu überprüfen und eventuell auch neue zu gestalten. Am Wichtigsten ist, dass du als Verantwortlicher dafür sorgst, dass die Daten deiner Mitglieder und Mitarbeiter nicht abhandenkommen können.
Schritt 1: Datenschutzbeauftragten engagieren (wenn erforderlich)
Bereits nach dem BDSG benötigte ein Studio schon immer einen Datenschutzbeauftragten, wenn aktuell mindestens 20 Personen regelmäßig auf die Daten zugreifen und diese verarbeiten. Noch wichtiger für Studios ist
die Verpflichtung zur Benennung eines Datenschutzbeauftragten nach der DSGVO, wenn die Kerntätigkeit des Studios darin besteht, Gesundheitsdaten zu verarbeiten. Dies muss unbedingt bei Reha-Studio und Studios mit Ernährungsschwerpunkt überprüft werden.
Gut zu wissen: Als verantwortlicher Datenschutzbeauftragter kann aber auch ein Mitarbeiter benannt werden, wenn er z.B. eine Fortbildung dazu besucht und die besonderen Kenntnisse dazu erworben hat.
Schritt 2: eigene Prozesse überprüfen, anpassen und dokumentieren
- Wo liegen überall personenbezogene Daten (E-Mails, Ordner mit Mitgliederverträgen, Mitgliederverwaltungssoftware, ...)?
- Wer greift auf Daten zu, wer kann diese verarbeiten?
- Sind alle Einwilligungen vorhanden und wer überprüft das?
- Bin ich auskunftsfähig und weiß ich wo ich nachgucken muss, wenn jemand sein Auskunftsrecht oder einen Widerruf geltend macht?
- Gibt es neben der Datenschutzerklärung für die Website auch eine gesonderte Datenschutzinformation über die Verarbeitung der Daten der Mitglieder im Fitnessstudio?
- Wurden die einzelnen Tätigkeiten, bei denen Daten verarbeitet werden, in einem Verzeichnis (sog. VVT) dokumentiert?
Schritt 3: Löschkonzepte erstellen und Umsetzung überwachen
Dich trifft die gesetzliche Verpflichtung personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. In der Praxis haben jedoch die wenigsten Studios ein etabliertes Löschkonzept. Mit Einführung der DSGVO kann ein solches Versäumnis aber ein hohes Bußgeld nach sich ziehen.
Schritt 4: Technisch Organisatorische Maßnahmen (TOMs) einführen
Die DSGVO verpflichtet dich als Verantwortlichen auch dazu, geeignete technische und organisatorische Maßnahmen zu ergreifen, um die Daten der Mitglieder und Mitarbeiter zu schützen. Diese Schutzmaßnahmen bzgl. der Datenverarbeitung müssen ebenfalls dokumentiert werden, da diese bei einer Kontrolle nachgewiesen werden müssen.
Gut zu wissen: Zu den TOMs zählen auch simple Maßnahmen wie Alarmanlagen, Sicherheitsschlösser oder ein Passwortschutz am PC für die Mitgliederdaten.
Schritt 5: Auftragsverarbeitungsverträge (AV-Vertrag) abschließen
Als Studioinhaber haftest du auch bei Datenpannen von beauftragten Dienstleistern, wie z.B. dem Softwareanbieter der Mitgliederverwaltung oder dem Finanzdienstleister, der für dich die Beiträge einzieht. Wichtig ist daher mit diesen externen Dienstleistern einen Auftragsverarbeitungsvertrag abzuschließen, in dem dann bestimmte Punkte zum Datenschutz geregelt sind, z.B. die Haftung bei Datenpannen.
ACHTUNG: Weiter musst du deine Mitglieder auch über die Zusammenarbeit mit externen Dienstleistern informieren. Dies geschieht am einfachsten in der gesonderten Datenschutzerklärung für die Datenverarbeitung während der Mitgliedschaft im Studio.
Schritt 6: Datenschutz-Folgenabschätzung erstellen (wenn erforderlich)
Eine Datenschutz-Folgenabschätzung ist erforderlich, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Mitglieder zur Folge hat oder umfangreich besondere Kategorien personenbezogener Daten, also Gesundheitsdaten, verarbeitet werden.
Dies kann z.B. der Fall sein, wenn biometrische Daten oder Gesundheitsdaten durch die Fitnessgeräte verarbeitet werden oder auch, wenn öffentlich zugängliche Studiobereiche systematisch und umfangreich mit Kameras überwacht werden.
Bei der Datenschutz-Folgenabschätzung musst du dir überlegen, welches Risiko entsteht oder wie hoch das Risiko für die Rechte der Mitglieder ist, wenn gewisse Prozesse und Technologien eingesetzt werden und mit welchen Maßnahmen die Risiken minimiert werden können.
Schritt 7: Einwilligung für Newsletter und Kontaktformulare prüfen
Als Websiteinhaber ist es vor dem „Absenden”-Button/ „Anmelde-Button” eine Checkbox einzubauen, die einen Link auf die Datenschutzerklärung enthält und vor der Anmeldung angehakt werden muss. Diese Einwilligungen müssen dann auch protokolliert werden (Accountability).
Wichtig zu wissen: Deine Mitarbeiter müssen in Sachen Datenschutz einmal im Jahr persönlich oder in Online-Kursen geschult werden. Diese Schulungen müssen mit einem entsprechenden Nachweis belegt werden können, wenn eine Kontrolle erfolgt.
Du willst dein Studio DSGVO-konform machen oder zumindest mal mit den notwendigen Einwilligungen und der Information über die Datenverarbeitung während der Mitgliedschaft starten?
Dann vereinbare gerne ein kostenloses Kennlerngespräch mit mir.
Sportliche Grüße
Julia
|
Julia Ruch
Triathletin, Anwältin für Sportrecht &
Expertin für Rechtssicherheit im Training und Wettkampf
aktivKANZLEI
|
d Artikel in E-Mail als Link verschickend Weitere interessante Artikel und Videos
Newsletter: Bleiben Sie auf dem Laufenden!
Bleiben Sie auf dem Laufenden mit unserem Newsletter zu den Blogbeiträgen. Melden Sie sich an und erhalten Sie einmal die Woche interessante Neuigkeiten aus der Welt des Sportrechts!
Verständlich und praxisnah erkläre Ich Ihnen in Artikeln und Videos interessante Rechtsprobleme und gebe Ihnen konkrete Tipps zur Fehlervermeidung in der Praxis.
d News abonnieren