Die neue europäische Datenschutz-Grundverordnung (DSGVO) betrifft Verantwortliche aus unterschiedlichen Branchen. Besonders relevant sind die neuen datenschutzrechtlichen Vorschriften für Verantwortliche, die in ihrer Branche besondere Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten, verarbeiten. Dies ist etwa in Fitness-Studios bezüglich der Gesundheitsdaten der Mitglieder der Fall. Gerade wenn man an die Videoüberwachung im Fitness-Studio denkt oder an individuelle Trainingspläne, welche öffentlich zugänglich ausliegen, weiß man das in Fitness-Studio noch einiges im Bezug auf Datenschutz nachgeholt werden darf. Was Fitness-Studios im Zusammenhang mit den Bestimmungen der DSGVO hinsichtlich des Datenschutzes wissen müssen, erfahren Sie in diesem Blogbeitrag.
Inhalt:
- Datenschutz im Fitness-Studio
- Müssen Fitness-Studios einen Datenschutzbeauftragten bestellen?
- Richtige Rechtsgrundlage für die Datenverarbeitung im Fitness-Studio
- Datenschutz Dokumentation im Fitness-Studio
- Mitarbeiterdatenschutz im Fitness-Studio
- Technisch-organisatorische Maßnahmen im Fitness-Studio
- Informationspflichten gegenüber Mitgliedern
- Videoüberwachung im Fitness-Studio
- Datenschutz-Prüfung Fitness-Studio
- Konsequenzen bei Verstößen gegen die DSGVO
Müssen Fitness-Studios einen Datenschutzbeauftragten bestellen?
Ein Datenschutzbeauftragter kann sowohl intern, also z.B. innerhalb eines Betriebs, oder extern, über einen Dienstleistungsvertrag, bestellt bzw. benannt werden. Ab wann ein Datenschutzbeauftragter bestellt werden muss, definiert die DSGVO und insbesondere das neue Bundesdatenschutzgesetz (BDSG-neu). So muss der Verantwortliche und der Auftragsverarbeiter gem Art. 37 Abs. 1 DSGVO auf jeden Fall einen Datenschutzbeauftragten benennen, wenn:
- die Verarbeitung von personenbezogenen Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit.a) DSGVO),
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit.b) DSGVO), oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO (z.B. in Form von Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c) DSGVO).
Insbesondere bei Fitness-Studios kommt somit die letzte Variante (Art. 37 Abs. 1 lit. c) DSGVO in Betracht, da hier regelmäßig Gesundheitsdaten verarbeitet werden. Nach dem Wortlaut von Art. 37 Abs. 1 lit. c) DSGVO ist allerdings entscheidend, dass die Gesundheitsdaten umfangreich verarbeitet werden.
Dies dürfte in den meisten Fitness-Studios regelmäßig der Fall sein. Im Rahmen eines Audits sollte geprüft und festgestellt werden, ob ein Datenschutzbeauftragter bestellt werden muss. Bei der Verarbeitung von Gesundheitsdaten sprechen wegen Art. 37 Abs. 1 lit. c) DSGVO viele Argumente für eine Bestellpflicht.
Bestellpflicht für Fitness-Studios nach BDSG-neu?
Unabhängig von der umfangreichen Verarbeitung von Gesundheitsdaten nach Art. 37 Abs. 1 lit. c) DSGVO kann sich zusätzlich eine Bestellpflicht für einen Datenschutzbeauftragten aus dem nationalen BDSG-neu ergeben: Gem. § 38 Abs. 1 S.1 BDSG-neu müssen der Verantwortliche und der Auftragsverarbeiter ergänzend zu Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen.
Aktuell steht § 38 Abs. 1 S.1 BDSG-neu unmittelbar vor einer Gesetzesänderung: Durch das zweite Datenschutz-Anpassungsgesetz soll die Anzahl von mindestens zehn Personen auf mindestens 20 Personen angehoben werden. Das hat der Bundestag in der Nacht zum 27. Juni 2019 beschlossen. Der Bundesrat muss dem Gesetz noch zustimmen.
In § 38 Abs. 1 S.2 BDSG-neu sind weitere Konstellationen für eine Bestellpflicht eines Datenschutzbeauftragten geregelt: Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen bzw. bestellen.
Richtige Rechtsgrundlage für die Datenverarbeitung im Fitness-Studio
In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in Art. 6 DSGVO geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 Abs. 1 lit. a) DSGVO. Eine Besonderheit bei dem Datenschutz in Fitness-Studios ist, dass in der Regel besondere Kategorien von personenbezogenen Daten verarbeitet werden, dadurch müssen ebenfalls die Bedingungen aus dem Artikel 9 DSGVO beachtet und erfüllt werden. Kategorien besonderer personenbezogener Daten sind beispielsweise Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.
Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen, das heißt, dass eine explizite Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, insbesondere von besonderen Kategorien von personenbezogenen Daten, erforderlich ist. Hat der Verantwortliche keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden. Wir empfehlen Ihnen daher die Prüfung der Rechtsgrundlagen wie eine Checkliste zu bearbeiten, mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:
Besondere Rechtsgrundlage für die Verarbeitung von besonderen Kategorien im Fitness-Studio
Da Fitness-Studios auch bzw. insbesondere Gesundheitsdaten und somit Kategorien besonderer personenbezogener Daten verarbeiten, ist eine Rechtsgrundlage i.S.v. Art. 9 Abs. 2 DSGVO erforderlich. Folgende Rechtsgrundlagen kommen danach in Betracht:
Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden (Art. 9 Abs. 2 lit. a) DSGVO).
Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist (Art. 9 Abs. 2 lit. b) DSGVO).
Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben (Art. 9 Abs. 2 lit. c) DSGVO).
Die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden (Art. 9 Abs. 2 lit. d) DSGVO).
Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat (Art. 9 Abs. 2 lit. e) DSGVO), hierbei ist allerdings immer der Zweck der Veröffentlichung zu bewerten.
Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich (Art. 9 Abs. 2 lit. f) DSGVO).
Die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich (Art. 9 Abs. 2 lit. g) DSGVO).
Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Art. 9 Abs. 3 DSGVO genannten Bedingungen und Garantien erforderlich (Art. 9 Abs. 2 lit. h) DSGVO).
Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich (Art. 9 Abs. 2 lit. i) DSGVO).
Die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 DSGVO erforderlich (Art. 9 Abs. 2 lit. j) DSGVO).
Darüber hinaus sind auch die Regelungen aus Art. 9 Abs. 3 und Abs. 4 DSGVO zu beachten. Insbesondere eine Einwilligung i.S.v. Art. 9 Abs. 2 lit. a) DSGVO kommt für die Verarbeitung von Gesundheitsdaten durch Fitness-Studios in Betracht. Die stattfindenden Datenverarbeitungsprozesse sollten gemeinsam mit dem Datenschutzbeauftragten ermittelt werden, damit der Datenschutzbeauftragte im Anschluss die erforderlichen Rechtsgrundlagen feststellen und erforderliche Dokumente, wie z.B. Einwilligungen, erstellen kann.
Datenschutz Dokumentation im Fitness-Studio
Ferner ist zu prüfen, ob für Ihr Fitness-Studio bereits ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO angefertigt wurde oder ob ein komplett neues VVT noch angelegt werden muss. Geprüft werden muss zudem, ob alle Auftragsverarbeiter identifiziert und erforderliche Auftragsverarbeitungsverträge mit allen Auftragsverarbeitern abgeschlossen wurden. Die Datenschutz-Folgenabschätzung (DSFA) ist in Art. 35 DSGVO geregelt und nicht für jede Verarbeitung von personenbezogenen Daten durchzuführen. Wann und wie eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich zum einen aus Art. 35 DSGVO und aus den Listen der jeweiligen Datenschutzbehörden der Bundesländer, nach der eine Datenschutz-Folgenabschätzung durchzuführen ist und wann nicht. In diesem Zusammenhang berät Sie Ihr Datenschutzbeauftragter und unterstützt Sie bei den durchzuführenden Maßnahmen.
Mitarbeiterdatenschutz im Fitness-Studio
Insbesondere aufgrund der Berührung mit besonderen Kategorien von personenbezogenen Daten wie Gesundheitsdaten sind Mitarbeiter in jedem Fitness-Studio bezüglich des Datenschutzes zu schulen. Die Schulungen können dabei persönlich durch den Datenschutzbeauftragten durchgeführt werden oder flexibel mittels E-Learning und Online-Schulungen.Wichtig ist in diesem Zusammenhang ein entsprechender Nachweis bezüglich der durchgeführten Schulungen. Darüber hinaus müssen Mitarbeiter in Fitness-Studios auf das Datengeheimnis gem. Art. 32 Abs. 1 lit. b) 2. Var. DSGVO verpflichtet werden. Informationen zum Datenschutz i.S.v. Art. 12 bis Art. 14 DSGVO müssen ebenfalls bezüglich der Verarbeitung von Mitarbeiterdaten transparent gegenüber Beschäftigten erfüllt werden. Die Nutzung der IT und des Internets von Fitness-Studios durch Mitarbeiter sollten ebenfalls durch entsprechende Richtlinien schriftlich geregelt werden.
Technisch-organisatorische Maßnahmen im Fitness-Studio
Der Datenschutzbeauftragte muss die technisch-organisatorischen Maßnahmen i.S.v. Art. 32, 25 DSGVO eines Fitness-Studios prüfen und dokumentieren und ggfs. Optimierungsvorschläge erarbeiten und etablieren. Im Rahmen einer ausführlichen Bestandsaufnahme und durch regelmäßige Auditierungen werden technisch-organisatorische Maßnahmen durch den Datenschutzbeauftragten identifiziert. Aufgrund der Sensibilität von Gesundheitsdaten ist hier ein besonders hoher Standard für die technisch-organisatorischen Maßnahmen einzurichten. Das bedeutet, dass bei der datenschutzkonformen Optimierung im Fitness-Studio auch der IT-Dienstleister (übrigens Auftragsverarbeiter) stark involviert sein muss.
Informationspflichten gegenüber Mitgliedern
Auch gegenüber Mitglieder, Lieferanten und sonstigen Geschäftspartnern müssen die Informationspflichten nach Art. 12 bis Art. 14 DSGVO erfüllt werden. Die Datenschutzerklärung für die Website eines Fitness-Studios ist ebenfalls von zentraler Bedeutung und muss alle Mindestvorgaben an Informationen aus der DSGVO erfüllen. Insbesondere der Einsatz verschiedener sozialer Netzwerke, wie z.B. Facebook, bedarf einer gesonderten datenschutzrechtlichen Prüfung.Auch ein Verfahren für die Bearbeitung von Betroffenenrechten, wenn betroffenen Personen von diesen Gebrauch machen, muss in einem Fitness-Studio eingerichtet sein. Berechtigungs- und Löschkonzepte bezüglich personenbezogener sollten schriftlich ausgefertigt zur Verfügung stehen. Dies gilt in der Regel für alle erforderlichen datenschutzrechtlichen Maßnahmen, um der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen. Auch ein Konzept für die rechtzeitige und formgerechte Meldung von Datenpannen und Datenschutzverstößen innerhalb der genannten Fristen der DSGVO sollte gemeinsam mit dem Datenschutzbeauftragten erarbeitet werden.
Videoüberwachung im Fitness-Studio
Zu den Informationspflichten gehört unter anderem ein Hinweisschild welches die Kontaktdaten des Fitness-Studios und dessen Datenschutzbeauftragten beinhaltet, als auch über den Zweck, die Rechtsgrundlage, das berechtigte Interesse und über die Dauer der Speicherung von Videoaufnahmen informiert.
Außerdem sollte ein weiterer Hinweis auf dem Schild für Videoüberwachung zum Auskunftsrecht und Beschwerderecht gegeben sein. Höchst praxisrelevant ist letztendlich auch die Pflicht zur Datenschutz Folgenabschätzung (DSFA) wenn es sich um eine „systematisch umfangreiche Überwachung öffentlich zugänglicher Bereiche“ (Videoüberwachung) handelt; vgl. Art. 35 Abs. 1 DSGVO.
Auswirkungen von Unsicherheiten und Risiken, speziell für den Schutz personenbezogener Daten in Verbindung mit Videoüberwachung und Datenschutz sind in dem Schweregrad sehr hoch. Achten Sie also darauf, dass durch die technisch- und organisatorischen Maßnahmen die Bilddaten überdurchschnittlich geschützt werden, sodass die Eintrittswahrscheinlichkeit eines Datenschutzverstoßes sehr gering ist. Dabei sind insbesondere Löschfristen und Berechtigungskonzepte von hoher Bedeutung. Aus unserer Praxiserfahrung können wir berichten, dass Mitglieder eines Fitness-Studios im Rahmen einer Kündigung gerne nochmal mit der Videoüberwachung beschäftigen.
Datenschutz-Prüfung Fitness-Studio
Die Keyed GmbH ist bei vielen Fitness-Studios als externer Datenschutzbeauftragter bestellt, weshalb wir aus unserer Erfahrung die relevanten Fragen, welche in einer Datenschutz-Prüfung vorkommen, zusammenstellen können. Als Betreiber eines Fitness-Studios sollten Sie folgende Fragen beantworten können gegenüber der Aufsichtsbehörde:
Konsequenzen bei Verstößen gegen die DSGVO
Die Nichteinhaltung der datenschutzrechtlichen Vorgaben nach der DSGVO können schwere Folgen nach sich ziehen: Gem. Art. 83 Abs. 4 und Abs. 5 DSGVO drohen bei Verstößen Bußgelder in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Welche Bußgelder bisher von den zuständigen Aufsichtsbehörden erteilt wurden, erfahren Sie hier.
Bei allen weiteren erforderlichen datenschutzrechtlichen Maßnahmen nach der DSGVO und dem BDSG-neu, die in diesem Beitrag nicht abschließend genannt sind, unterstützt Sie Ihr Datenschutzbeauftragter. Melden Sie sich jetzt bei den Experten von Keyed für eine kostenlose und unverbindliche Erstberatung.
Herr Nils Möllers ist Gründer und Geschäftsführer der Keyed GmbH. Als Experte für Datenschutz in Konzernen, Unternehmensgruppen und Franchise-Systemen, ist Herr Möllers ebenfalls als zertifizierter Datenschutzbeauftragter tätig. Ergänzend zur datenschutzrechtlichen Expertise ist Herr Möllers im Bereich der IT-Sicherheit, begleitend zur ISO27001 und TISAX-Assessments, beratend tätig.