Boiko Y / shutterstock.com
Ratgeber · shape UP Business 4/2020

Mehr als ein Dokument auf der Website

Viele Studioinhaber haben sich bisher nur unzureichend oder gar nicht um den Datenschutz für Ihre Mitglieder und Mitarbeiter gekümmert. Die meisten belassen es bei der Datenschutzerklärung für die Website des Studios. Dabei vergessen sie, dass bei der Anmeldung und der Erstellung von Trainingsplänen für die Mitglieder, aber auch bei der Gehaltsabrechnung von Mitarbeitern, personenbezogene Daten verarbeitet werden.

Julia Ruch

Die Erhebung, Bearbeitung und Speicherung von personenbezogenen Daten muss aber nach den Vorgaben der Europäischen Datenschutzgrundverordnung (DSGVO) erfolgen, sonst drohen Bußgelder.

Wen betrifft die DSGVO?

Sie gilt für jedes Unternehmen. Damit sind sowohl große Fitnessstudios als auch kleine Boutique-Studios verpflichtet, die Vorgaben der DSGVO und des deutschen Bundesdatenschutzgesetzes (BDSG) zu beachten.

Laut DSGVO haftet der Verantwortliche dafür, dass bei jedem Verarbeitungsvorgang die Vorschriften der Verordnung eingehalten werden. Als Verantwortlicher gilt jede natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Damit gemeint sind Entscheidungsträger wie der Geschäftsführer einer GmbH oder aber auch der Studioleiter, wenn Letzterer Entscheidungen treffen darf, die die Datenverarbeitung betreffen – zum Beispiel bei der Löschung von Mitgliederdaten.

Die DSGVO und das BDSG müssen immer dann beachtet werden, wenn im Studio personenbezogene Daten verarbeitet werden. Andernfalls drohen bürokratischer Aufwand und hohe Geldbußen.

Unter personenbezogene Daten fallen alle Informationen über eine natürliche Person, die diese identifizierbar machen. Dazu zählen Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer usw., aber insbesondere auch genetische Daten und Gesundheitsdaten.

Vorsicht im Umgang mit Gesundheitsdaten

Zu den Gesundheitsdaten gehören alle Angaben, die den Gesundheitszustand einer Person betreffen. Die DSGVO bezeichnet diese als besondere Kategorien von personenbezogenen Daten. Als solche müssen die Gesundheitsdaten besonders geschützt werden. Da bedeutet auch, dass du von jedem Mitglied eine extra Einwilligung brauchst, damit du diese Daten verarbeiten darfst.

Als Trainer und Studioinhaber werden von dir viel Fingerspitzengefühl und weitreichende Überlegungen erwartet. So haben sich bisher nur Wenige darüber Gedanken gemacht, dass beispielsweise der Body-Mass-Index eines Mitglieds, welcher aus der Körpergröße und dem Gewicht ermittelt wird, zusammen mit dem Namen einen besonders zu schützenden Gesundheitswert im Sinne der DSGVO darstellt.

Auch bei der Anamnese im Eingangsgespräch werden zum Teil hochsensible Daten wie Vorerkrankungen oder Unverträglichkeiten erfasst. Wer als Reha-Sportzentrum anerkannt ist, erhält die Gesundheitsdaten sogar direkt vom Arzt.

Achtung Haftungsfalle

Wer sich noch nicht mit dem Thema Datenschutz beschäftigt hat, besitzt von seinem Mitglied auch meist keine Einwilligung für die Erhebung und Verarbeitung von Gesundheitsdaten. Am einfachsten wäre es, sich die Einwilligung bereits zusammen mit dem Mitgliedsantrag geben zu lassen. In den Mitgliedervertrag sollte daher eine Klausel aufgenommen werden, die Das kann beispielsweise wie folgt aussehen kann: „Ich willige ein, dass das Studio XY meine Gesundheitsdaten und biometrischen Daten zum Zwecke der Trainingsunterstützung verarbeitet.“

Ziel der DSGVO ist es, den Datenschutz auch in Studio deutlich zu erhöhen. Fehlt es an einer solchen erforderlichen Einwilligung, so drohen bei einer Kontrolle durch den Landesdatenschutzbeauftragten, zum Beispiel allamiert durch einen Mitbewerber, hohe Bußgelder.

Bisher ist doch noch nichts passiert

Falsch: So hat die Inhaberin eines Beautysalons in Hamburg auf Basis der Abmahnungen eines Anwalts wegen fehlender Datenschutzerklärungen an andere Unternehmen Abmahnungen angestrengt. In einem vergleichbaren Fall sah sich ein Personaldienstleister aus Oberhausen durch einen Mitbewerber in ihren Wettbewerbsrechten beeinträchtigt und hat Abmahnungen wegen fehlenden Einwilligungen für Google-Dienste auf der Website des Mitbewerbers versendet. Die Betroffenen mussten Unterlassungserklärungen unterschreiben und die gegnerischen Anwaltskosten bezahlen.

Mittlerweile haben viele Gerichte aber geurteilt, dass Verstöße gegen die DSGVO nicht von Wettbewerbern abgemahnt werden können. Nach der Auffassung der Richter ist es nur folgenden drei Gruppen erlaubt, gegen Datenschutzverstöße vorzugehen:

  • Personen, deren Recht auf informationelle Selbstbestimmung verletzt worden ist
  • Aufsichtsbehörden
  • klagebefugte Verbände

Meistens ist es der Landesdatenschutzbeauftragte deines Bundeslandes – als zuständige Aufsichtsbehörde – der die Überprüfung vornimmt. Dazu kann es kommen, wenn du zufällig für eine Kontrolle ausgewählt wirst, aber auch wenn ein (ehemaliges) Mitglied oder ein Konkurrent eine Beschwerde gegen dein Studio eingereicht hat.

Wann darf ich Daten erfassen?

Die Regel ist ganz einfach: Entweder gibt es eine Rechtsverordnung, die dir erlaubt, Daten zu verarbeiten oder du hast eine Einwilligung des Mitglieds. Hast du weder das eine noch das andere, darfst du keine Daten verarbeiten und musst bereits erfasste Daten löschen.

Die DSGVO gibt dir aber eine ganze Reihe von Rechten, damit du dein Business ordentlich führen kannst. So ist zum Beispiel die Datenverarbeitung zur Erfüllung eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen nach Art. Artikel 6 Absatz 1 Buchstabe b DSGVO immer erlaubt. Das bedeutet, dass du alle Daten aus den Mitgliederverträgen, die du für die Mitgliederverwaltung brauchst, verarbeiten darfst. Dies gilt auch für die Erhebung von Daten bei einem Probetraining, bei dem noch kein Vertrag besteht, denn dieser Fall gilt als vorvertragliche Maßnahmen.

Was muss ich tun?

Deine Mitglieder müssen umfänglich darüber informiert werden, welche Daten du für welchen Zweck erhebst – Informationsrecht – damit sie entscheiden können, ob sie ihre Daten dafür zur Verfügung stellen wollen. Dieser Informationspflicht kommst du am geschicktesten nach, wenn du neben der Datenschutzerklärung für die Benutzung der Website noch eine weitere Datenschutzerklärung für die Mitgliedschaft im Studio erstellst und die Informationen dort hinterlegst.

Daraus leitet sich dann auch ein nachträglicher Auskunftsanspruch der Mitglieder ab. Jedes Studio muss jederzeit nachweisen können, wie das geltende Datenschutzrecht umgesetzt wird und in der Lage sein, auf Verlangen die folgenden Fragen zu beantworten:

  • Welche Daten hast du von mir?
  • Wo hast du meine Daten her?
  • Was machst du damit?
  • An wen hast du sie weitergegeben?

Sieben Schritte zu mehr Rechtssicherheit

Die DSGVO verpflichtet dich als Studioinhaber dazu, deine vorhandenen Prozesse zum Datenschutz zu überprüfen und eventuell auch Neue zu gestalten. Am wichtigsten ist, dass du als Verantwortlicher dafür sorgst, dass die Daten deiner Mitglieder und Mitarbeiter nicht abhandenkommen können.

Schritt 1: Datenschutzbeauftragten engagieren, wenn erforderlich

Bereits nach dem BDSG benötigte ein Studio schon immer einen Datenschutzbeauftragten, wenn mehr als neun Personen regelmäßig auf die Daten zugreifen und diese verarbeiten. Noch wichtiger für Studios ist die Verpflichtung zur Benennung eines Datenschutzbeauftragten nach der DSGVO, wenn die Kerntätigkeit des Studios darin besteht, Gesundheitsdaten zu verarbeiten. Dies muss unbedingt bei Reha-Studios und Studios mit Ernährungsschwerpunkt überprüft werden. Als Datenschutzbeauftragter kann aber auch ein Mitarbeiter benannt werden, wenn er respektive sie zum Beispiel eine Fortbildung dazu besucht und die besonderen Kenntnisse dazu erworben hat.

Schritt 2: eigene Prozesse überprüfen und anpassen

Wo liegen überall personenbezogene Daten (E-Mails, Ordner mit Mitgliederverträgen, Mitgliederverwaltungssoftware, …)?

Wer greift auf Daten zu, wer kann diese verarbeiten?

Sind alle Einwilligungen vorhanden und wer überprüft das?

Bin ich auskunftsfähig und weiß ich, wo ich nachschauen muss, wenn jemand sein Auskunftsrecht oder einen Widerruf geltend macht?

Schritt 3: Löschkonzepte erstellen, Umsetzung überwachen

Dich trifft die gesetzliche Verpflichtung, personenbezogene Daten zu löschen, wenn diese für den Geschäftsprozess nicht mehr erforderlich sind und keine gesetzlichen Aufbewahrungspflichten dem entgegenstehen. In der Praxis haben jedoch die wenigsten Studios ein etabliertes Löschkonzept. Mit Einführung der DSGVO kann ein solches Versäumnis aber ein hohes Bußgeld nach sich ziehen.

Schritt 4: technische und organisatorische Maßnahmen einführen

Die DSGVO verpflichtet den Verantwortlichen auch dazu, geeignete technische und organisatorische Maßnahmen (TOMs) zu ergreifen, um die Daten der Mitglieder und Mitarbeiter zu schützen. Diese Maßnahmen müssen dokumentiert werden, da diese bei einer Kontrolle nachgewiesen werden müssen. Zu den TOMs zählen auch simple Maßnahmen wie Alarmanlagen, Sicherheitsschlösser oder ein Passwortschutz am PC für die Mitgliederdaten.

Schritt 5: Auftragsverarbeitungsverträge abschließen

Als Studioinhaber haftest du auch bei Datenpannen von beauftragten Dienstleistern, wie beispielsweise dem Softwareanbieter der Mitgliederverwaltung oder dem Finanzdienstleister, der für dich die Beiträge einzieht. Wichtig ist daher, mit diesen externen Dienstleistern einen Auftragsverarbeitungsvertrag abzuschließen, in dem bestimmte Punkte zum Datenschutz geregelt sind wie etwa die Haftung bei Datenpannen.

Weiter bist du verpflichtet, deine Mitglieder auch über die Zusammenarbeit mit externen Dienstleistern zu informieren. Dies geschieht am einfachsten in der gesonderten Datenschutzerklärung für die Mitgliedschaft im Studio.

Schritt 6: Datenschutz-Folgenabschätzung erstellen, wenn erforderlich

Eine Datenschutz-Folgenabschätzung ist notwendig, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Mitglieder zur Folge hat oder umfangreich besondere Kategorien personenbezogener Daten, also Gesundheitsdaten, verarbeitet werden.

Dies kann zum Beispiel der Fall sein, wenn biometrische Daten oder Gesundheitsdaten durch die Fitnessgeräte verarbeitet werden oder auch, wenn öffentlich zugängliche Studiobereiche systematisch und umfangreich mit Kameras überwacht werden.

Bei der Datenschutz-Folgenabschätzung solltest du dir überlegen, welches Risiko entsteht oder wie hoch das Risiko für die Rechte der Mitglieder ist, wenn gewisse Prozesse und Technologien eingesetzt werden und mit welchen Maßnahmen die Risiken minimiert werden können.

Schritt 7: Einwilligung für Newsletter, Kontaktformulare prüfen

Ratsam ist es, vor dem Absenden-Button beziehungsweise Anmelde-Button eine Checkbox auf der eigenen Website einzubauen, die einen Link auf die Datenschutzerklärung enthält und vor der Anmeldung angehakt werden muss. Diese Einwilligungen müssen dann auch protokolliert werden (Accountability).

Wichtig zu wissen

Deine Mitarbeiter sollten in Sachen Datenschutz unbedingt einmal im Jahr persönlich oder in Online-Kursen geschult werden. Diese Schulungen müssen mit einem entsprechenden Nachweis belegt werden können, wenn eine Kontrolle erfolgt.