Anzeige

Alexander Volle ist Prokurist der MAPET Fitness- und Gesundheitsclubs, Geschäftsführer der MAPET Gesundheitsmanagemen GbR und registrierter Berater „Förderung unternehmer- ischen Know-Hows“ der BAFA sowie zertifizierter Prozessberater unternehmenswert:Mensch. Im Rahmen seiner Beraterausbildung und der anstehenden EU-Datenschutz-Grundverordnung hat er sich mit dem Thema Datenschutz auseinandergesetzt. Im Interview erklärt er, welche Herausforderungen auf Clubbetreiber aufgrund des neuen Datenschutzgesetzes zukommen und wie diese bestmöglich gemeistert werden können.

Interview mit Alexander Volle, „MAPET“-Fitness- und Gesundheitsclubs

body LIFE: Am 25. Mai tritt das neue Datenschutzgesetz in Kraft. Was sind die wichtigsten Neuerungen des Gesetzes? Was ist das Ziel des Gesetzes?

Alexander Volle: Das Ziel ist es, in der EU eine einheitliche Rechtsgrundlage zu schaffen, die das bestehende Bundesdatenschutzgesetz ablöst, von dem viele ja gar nicht wussten, dass es überhaupt existiert. Neuerungen sind die Dokumentations- und Nachweispflicht, als Beispiel die Erstellung eines Verfahrensverzeichnisses für die Verarbeitung von personenbezogenen Daten, sowie ein risikobasierter Ansatz mit einer Abschätzung, die erfolgen muss, wenn ein Unternehmen z.B. gesundheitsbezogene Daten verarbeitet, was wir in der Fitnessbranche ja tun. Das heißt konkret die Klärung des Ernstfalls, wenn personenbezogene Daten in falsche Hände fallen.

body LIFE: Welche Änderungen ergeben sich durch das Gesetz konkret für Fitnessstudios? Wo sehen Sie die größten Herausforderungen?

Alexander Volle: Die Hauptproblemstellung in Fitnessclubs ist die Verarbeitung von besonders schützenswerten personenbezogenen Daten, wie zum Beispiel Gesundheitsdaten in Form von Diagnostiken, Check-ups und Trainingsplänen, die bei den meisten Clubs aktuell frei zugänglich sind. Eigentlich ist es streng genommen keine Änderung, da diese bereits im aktuellen Bundesdatenschutzgesetz festgeschrieben waren. Nun ist es aber eine EU-Richtlinie und kann mit höheren Geldbußen belegt werden. In der Fitness- und Gesundheitsbranche wird ein ständiger Austausch von Daten mit externen Dritten gepflegt, wie beispielsweise Geräteherstellern, die Daten in ihrer Cloud speichern, oder auch Diagnostikanbieter, die Gesundheitsdaten dezentral speichern. Ich denke, es gibt bestimmt kaum einen Fitnessclubbetreiber, der nicht irgendeine Schnittstelle mit einem externen Softwarehersteller eingegangen ist.

body LIFE: Wie können Clubbetreiber sicherstellen, dass sie alle Anforderungen des neuen Gesetzes erfüllen?

Alexander Volle: Das ist eine sehr gute Frage. Vor diesem Problem standen wir auch. Aus diesem Grund haben wir uns die Unterstützung eines Datenschutzfachmanns geholt, der bereits tiefgehende Erfahrungen im Bereich der Verarbeitung von Gesundheitsdaten hat, die ja, wie bereits oben angesprochen, als besonders schützenswert deklariert sind. Durch unsere hohe IT-Affinität als ehemalige Hersteller von Mitgliederverwaltungssoftware speziell für die Fitness- und Gesundheitsbranche, hat sich hier sehr schnell herausgestellt, dass dies eine tolle Kooperation für die Zukunft ist. Wir haben uns bei einer Schulung mit einem befreundeten Clubbetreiber unterhalten, der gemeint hat, dass wir da schon richtig gut aufgestellt sind und ihn gleich mitberaten könnten. So ist ein Konzept entstanden, das speziell den Herausforderungen von Fitness- und Gesundheitsclubs gerecht wird. Das Konzept ist schlank gehalten und es müssen keine größeren Summen investiert werden. Im Gegenteil, unser Konzept, das eine Schwachstellenanalyse mit konkretem Maßnahmenplan, branchenspezifischen Vorlagen etc. beinhaltet, ist sogar mit bis zu 50 Prozent unter gewissen Kriterien förderbar.

body LIFE: Die Trainingsfläche wird unter anderem durch elektronische Zirkel immer digitaler. Hat damit das neue Datenschutzgesetz auch direkte Auswirkungen auf das Training in Fitness- und Gesundheitsanlagen?

Alexander Volle: Ja, genau, das war auch eines unserer Kernthemen, denn hier werden gesundheitsbezogene Daten mit einem externen Dritten ausgetauscht, die von demjenigen abgelegt und gegebenenfalls weiterverarbeitet werden. Hierfür muss mit allen externen Firmen, die Daten im Auftrag von uns verarbeiten, ein sogenanntes Verzeichnis der Verarbeitungstätigkeiten erstellt werden sowie eine Vereinbarung zur Auftragsdatenverarbeitung geschlossen werden. Das hört sich jetzt hoch kompliziert an, ist es auch (lacht). Natürlich haben wir auch hierfür einen geeigneten Maßnahmenplan mit vorbereiteten Checklisten entwickelt.

body LIFE: Verstöße gegen das neue Datenschutzgesetz sollen hart bestraft werden. Wie und vor allem wer prüft mögliche Verstöße?

Alexander Volle: Maximal 4 Prozent vom weltweiten Jahresumsatz können als Strafe angesetzt werden. Es ist zwar eine EU-Richtlinie, aber es wird im Rahmen dessen ein neu ausgearbeitetes bzw. zusätzliches Bundesdatenschutzgesetz geben. Die Prüfung wiederum obliegt den Landesaufsichtsbehörden der einzelnen Bundesländer. Am aktivsten ist hier derzeit Bayern, weshalb wir uns auch für einen Partner aus Bayern entschieden haben. Momentan läuft die Prüfung hauptsächlich über Fragebögen, die mit einer Frist von ca. 14 Tagen schlüssig beantwortet werden müssen, was die meisten Unternehmer bereits jetzt vor große Herausforderungen stellt. In Zweifelsfällen prüfen die Aufsichtsbehörden die Unternehmen vor Ort. Dazu wurde die Personaldecke der Aufsichtsbehörden aufgestockt – in einigen Fällen sogar verdoppelt.

body LIFE: Das neue Datenschutzgesetz sieht unter anderem einen Datenschutzbeauftragten vor. Welche konkreten Vorteile hat es Ihrer Meinung nach, einem Mitarbeiter diesen Job anzuvertrauen? Was spricht für einen externen Berater?

Alexander Volle: Hier sollten wir uns erst einmal mit dem rechtlichen Rahmen, nämlich der gesetzlichen Haftung im Rahmen der Auswahlpflicht, beschäftigen. Hierzu zitiere ich aus dem Gesetz: Benennung eines Datenschutzbeauftragten nach Art. 37 DSGVO: Ein Datenschutzbeauftragter wird aufgrund der Grundlage seiner beruflichen Qualifikation und insbesondere seines Fachwissens, das er auf dem Gebiet des Datenschutzrechts besitzt, benannt. Er muss sich ständig weiterbildet, entsprechend Zeit haben und die Voraussetzung erfüllen, dass es zu keinem Interessenskonflikt kommt. Ausgeschlossen sind von vornherein Geschäftsführer, Prokuristen, Familienangehörige der Geschäftsführung – woran auch wir gescheitert sind –, zudem IT-Leiter, Marketingleiter und Ähnliche. Es darf auch nicht der beauftragte externe IT-Dienstleister sein, mit dem man zusammenarbeitet, da es hier ebenfalls zu einem Interessenkonflikt kommen kann. Dabei gilt aber zu beachten, dass die Haftung im Rahmen des Überwachungsverschuldens immer auf Seite des Unternehmers liegt. Auch bei einem externen Datenschutzbeauftragten ist man dafür verantwortlich, dass dieser seinen Pflichten nachkommt. Durch unsere Kooperation mit einem externen Datenschutzbeauftragten, den wir für die speziellen Anforderungen eines Fitnessclubs fit gemacht haben, können wir nach erfolgter Schwachstellenanalyse, die als Absicherung für einen Datenschutzbeauftragten immer erfolgt sein muss, ein tolles Angebot mit einem niedrigenmonatlichen Betreuungsentgelt speziell für die Branche anbieten.

body LIFE: Können Fitnessclubbetreiber durch das neue Datenschutzgesetz profitieren? Falls ja, inwiefern?

Alexander Volle: Wir befinden uns aktuell im Megatrend der Digitalisierung und können uns so für die Zukunft wappnen, denn in Zeiten von verantwortungslosem Umgang mit Daten werden die Menschen immer sensibler. Und wir kennen ja unsere Mitglieder, die immer wieder anfragen, was mit ihren Daten passiert. Neben den Datenschutzbestimmungen ist auch ein kleiner Bestandteil die IT-Sicherheit, die für die Zukunft unerlässlich ist. Gerade wer sich über Qualität abheben möchte, sollte hier schnell tätig werden.

body LIFE: Vielen Dank für das Interview.

Hier geht es zum Quickdatencheck: datenschutz.mein-mapet.de

Aus-, Fort und Weiterbildung
Beratung
Cardio
EMS
Ernährung
Functional
IT / Software
Kraft
Reha und Prävention
Testing und Diagnose
Wellness
Anzeige

News Ticker