Datenschutz 2023
Was ist neu und was müssen Studiobetreiber beachten?
Angesichts der Zunahme von personallosen Studios und der voranschreitenden Digitalisierung in den Fitnessanlagen wird die Beachtung der Datenschutzschutzbestimmungen immer wichtiger. Achim Barth stellt die wesentlichen Fakten vor, die Clubbetreiber zu diesem Thema wissen sollten.
Nach zwei schwierigen Coronajahren wollte die Fitnessbranche 2022 wieder durchstarten. Doch nach dem Regen kam die Traufe. Der wirtschaftliche Abschwung und die Inflation haben Deutschland im Würgegriff, dazu kommen die stark gestiegenen Energiekosten, die allen Clubbetreibern zu schaffen machen.
Wer nun allerdings meint, aufgrund der schwierigen Gesamtsituation könne man bestimmte Pflichten zur Seite schieben, der irrt. Gerade der Datenschutz steht im Fokus der Öffentlichkeit. Ein zunächst wenig beachtetes Urteil vom Januar 2022 zur Verwendung von Google Fonts auf Webseiten sorgte im Spätjahr 2022 für eine Abmahnwelle, die auch zahlreiche Clubbetreiber erreicht hat. Kündigungswillige Mitglieder versuchen zudem, Datenschutzrechte zu missbrauchen, um vorzeitig aus ihren Verträgen zu kommen. Wer sich mit den Bestimmungen zum Datenschutz auskennt, erspart sich viel Ärger, Zeit und Geld. Im Folgenden ein Überblick über die wichtigsten Datenschutzbestimmungen, die Betreiber von Fitnessanlagen beachten müssen.
Verzeichnis der verarbeiteten Daten erstellen
Klären Sie die internen Verantwortlichkeiten. Sie haben definiert, wer sich um Mitglieder und Interessenten kümmert und wer die Werbung verantwortet. Doch wer kümmert sich in Ihrem Studio eigentlich darum, dass die IT-Sicherheit gewährleistet ist? Dass die Daten der Mitarbeiter und Mitglieder geschützt sind? Und dass Sie bei behördlichen Anfragen Ihrer Rechenschaftspflicht gemäß der DSGVO nachkommen können? In jedem Fitnessstudio werden personenbezogene Daten und darüber hinaus sensible Gesundheitsdaten verarbeitet, zum Beispiel Größe, Gewicht, BMI oder Angaben zu Verletzungen. Gesundheitsdaten zählen laut DSGVO zu den besonders schützenswerten Daten und müssen daher mit größter Sorgfalt verarbeitet werden.
Doch auch die normale Anmeldung mit Vertragsabschluss erfordert schon die Verarbeitung personenbezogener Daten: Name, Anschrift, Bankverbindung. Außerdem verarbeiten Sie die Daten Ihrer Beschäftigten, betreiben eine Website und schicken Daten an Dritte, zum Beispiel den Anbieter der Mitgliederverwaltung. Diese Datenverarbeitung dokumentieren Sie im Verzeichnis von Verarbeitungstätigkeiten. Dort halten Sie neben der Beschreibung der Verarbeitung auch die Rechtsgrundlage für die Datenverarbeitung und die Löschfristen fest.
Technischer Datenschutz und IT-Sicherheit
Personenbezogene Daten müssen sicher aufbewahrt werden. Jeder Verantwortliche, also der Geschäftsführer oder der Inhaber, muss dafür sorgen, dass diese Informationen vor dem Zugriff Unbefugter geschützt sind. Achten Sie also immer darauf, Trainingspläne, Vertragsdaten etc. in einem abschließbaren Schrank aufzubewahren. Denken Sie zudem an die Löschfristen dieser Daten und vernichten Sie sie auf Bitte eines Betroffenen mithilfe eines Aktenvernichters der Stufe P4.
Für alle elektronisch gespeicherten Daten gilt dasselbe Prinzip. Sie sorgen dafür, dass auf Computern und Servern oder in Cloudspeichern abgelegte Informationen vor unbefugtem Zugriff geschützt sind, verfügbar bleiben und nicht unautorisiert verändert werden können. Durch die Umsetzung des technischen Datenschutzes schlagen Sie zwei Fliegen mit einer Klappe, denn der Schutz vor Cyberangriffen wird dadurch ebenfalls erhöht.
Viele Studios (besonders diejenigen, die 24/7 geöffnet haben) nutzen für die Zutrittssteuerungen Chipkarten oder Armbänder, die an Mitglieder ausgegeben werden. Sehr moderne Studios sind zudem mit Geräten ausgestattet, an denen sich Trainierende mit ihrer Chipkarte einloggen. Smarte Geräte stellen die Gewichte je nach eingeloggtem User selbst ein, dokumentieren den Trainingsfortschritt und vernetzen sich ganz nebenbei mit ausgewählten Geräten im Studio. IT-Sicherheit spielt hier mittlerweile eine entscheidende Rolle, wenn es um Datenschutz geht. Eine Firewall, ein aktuelles Virenschutzprogramm und geschulte Mitarbeiter sorgen dafür, dass der Fitnessclub vor böswilligen Angriffen geschützt ist.
Auf vertrauliche Kommunikation achten
Ob Besprechungen zum Vertrag oder eine Auswertung der momentanen Trainingsleistungen: All das muss nicht am Empfangstresen oder mitten auf der Trainingsfläche erfolgen. Halten Sie für vertrauliche Gespräche mit Mitgliedern einen gesonderten Raum bereit, auch wenn Sie davon ausgehen, dass andere Mitglieder genügend Anstand haben, um solche Gespräche nicht zu belauschen.
Datenschutz auf Social-Media- Kanälen beachten
Verlinken Sie Ihre Datenschutzerklärung auf den Unternehmensseiten, die Sie betreiben. Alle Klicks auf Gewinnspiele oder sonstige Posts zum Fitnessstudio werden von den Plattformen gemessen – weisen Sie also sowohl in der Datenschutzerklärung auf der Webseite als auch auf einem kurzen Auszug auf der Plattform selbst darauf hin. Wenn Sie Unternehmensseiten bei Meta (Facebook, Instagram) betreiben, sind Sie gemeinsam mit Meta für die Datenverarbeitung verantwortlich und müssen entsprechende Verträge mit dem Konzern abschließen.
Die Datenschutzaufsichtsbehörden in Deutschland sind der Auffassung, dass der Betrieb von Facebook-Unternehmensseiten nicht mit der DSGVO vereinbar sei. Fragen Sie einen Datenschutzexperten, wie Sie das Risiko minimieren können, um nicht in den Fokus der Datenschutzbehörde Ihres Bundeslandes zu gelangen.
Videoüberwachung
Um zu prüfen, ob sich ein Mitglied aus eigener Dummheit verletzt hat oder weil das Gerät defekt war, oder um sich gegen Vandalismus an teuren Maschinen zu wappnen – es gibt viele Gründe, warum Betreiber eines Fitnessstudios auf Videoüberwachung setzen. Datenschutztechnisch gibt es jedoch auch hier ein paar Punkte zu beachten:
- Es ist zum Schutz der Privatsphäre natürlich untersagt, Bereiche wie Umkleideräume, Duschen, die Trainingsfläche und die Sauna zu filmen.
- Weisen Sie die Besucher des Studios ausdrücklich darauf hin, dass im Studio Videoüberwachung stattfindet. Bringen Sie schon an der Eingangstür ein Piktogramm an und ergänzen dieses um weitere Hinweise in den Bereichen, auf die Kameras gerichtet sind.
- Bewahren Sie die Aufnahmen maximal 72 Stunden auf und achten Sie ganz besonders darauf, dass diese kein unbefugter Dritter einsehen kann.
- Dokumentieren Sie die Verarbeitung im Verzeichnis von Verarbeitungstätigkeiten.
Die größten Datenschutzfallen in Fitnessstudios
Datenschutz-Fettnäpfchen gibt es überall. Besonders in Fitnessstudios begegnen mir häufig folgende Fallen, die schnell teuer werden können.
Falle Nr. 1: Ein ehemaliges Mitglied fordert schriftlich, dass all seine Daten gelöscht werden. Der Mitarbeiter verliert die Anfrage aus den Augen, da er gerade mit einer anderen Aufgabe beschäftigt ist. Daraus ergibt sich ein Datenschutzverstoß, der bei einer Anzeige durch das Exmitglied ein Bußgeld bewirkt – oder zumindest für Ärger mit der Aufsichtsbehörde sorgt.
Falle Nr. 2: Ein Trainer bespricht mit dem Klienten während des Personal Trainings vertrauliche Dinge über dessen körperlichen Zustand. Andere Mitglieder auf der Trainingsfläche können das Gespräch mithören und ziehen das Mitglied später damit auf.
Falle Nr. 3: Die Website ist bei vielen Studiobetreibern nicht im Fokus. Vor einigen Jahren erstellt, wird sie sehr oft mehr recht als schlecht gepflegt. Das ist besonders bei kleinen, privat geführten Fitnessstudios der Fall, die auf der Seite nur ein paar Informationen zu Öffnungszeiten und Trainingsangeboten bereitstellen wollen. Wenn schon hier grundlegende Datenschutzangaben fehlen, wird man das auch dem gesamten Studio unterstellen und dessen Datenschutzmaßnahmen besonders kritisch unter die Lupe nehmen. Sorgen Sie daher unbedingt dafür, dass Ihre Website den Anforderungen des Datenschutzes entspricht.
Da immer mehr Daten verarbeitet werden, sollte in Fitnessanlagen der Datenschutz mit hoher Priorität behandelt werden.
Achim Barth
Achim Barth
ist Inhaber der Barth Datenschutz GmbH und mehrfach zertifizierter Datenschutzbeauftragter. Wie zähmt man das Bürokratie-Monster DSGVO? Achim Barth ist einer der kompetentesten Ansprechpartner rund um dieses Thema und den Schutz personenbezogener Daten. Zielgerichtet, sachkundig und immer up to date begleitet er Verantwortliche und Unternehmen bei der Umsetzung. In der Beratung sowie in Seminaren und Vorträgen überzeugt der Gründer mit praktikablen Lösungen. Sein Fachwissen vermittelt er eingängig und unterhaltsam, sodass sowohl Unerfahrene als auch Technikfans vom Mehrwert und Wettbewerbsvorteil seines Know-hows profitieren.
www.barth-datenschutz.de
Foto: greenbutterfly – stock.adobe.com