Datenschutz im Fitness-Studio nach der DSGVO – Das müssen Sie wissen

Fitnessstudio Datenschutz
Zusammenfassung
  1. Fitnessstudios verarbeiten Kategorien besonders personenbezogener Daten (z. B. Daten über die körperliche oder geistige Gesundheit).
  2. Zur rechtmäßigen Verarbeitung besonderes personenbezogener Daten muss eine der zur Auswahl stehenden speziellen Rechtsgrundlagen vorliegen.
  3. Für den datenschutzkonformen Betrieb eines Fitnessstudios sind die Anfertigung eines Verzeichnisses von Verarbeitungstätigkeiten und einer Datenschutz-Folgenabschätzung, sowie die Dokumentation und Umsetzung von technisch-organisatorischen Maßnahmen notwendig.
  4. Bei einer Zusammenarbeit mit Auftragsverarbeitern ist ein Auftragsverarbeitungsvertrag zu schließen.
  5. Fitnessstudios haben unter Berücksichtigung verschiedener Voraussetzung die Pflicht, einen Datenschutzbeauftragten zu bestellen.
  6. Im Fall einer Videoüberwachung sind Hinweisschilder hinsichtlich verschiedener formaler und inhaltlicher Vorgaben aufzustellen.
  7. Die Mitarbeiter eines Fitnessstudios müssen bezüglich des Datenschutzes persönlich oder mittels E-Learning und Online-Schulungen geschult werden. Diese Schulungen müssen mit einem entsprechenden Nachweis belegt werden.
Keine Lust zu lesen?

Jetzt direkt Hilfe anfordern und professionelle Erstberatung von unseren Experten erhalten.

Jetzt direkt Hilfe anfordern und professionelle Erstberatung von unseren Experten erhalten.

Jetzt direkt Hilfe anfordern und professionelle Erstberatung von unseren Experten erhalten.

Die neue europäische Datenschutz-Grundverordnung (DSGVO) betrifft Verantwortliche aus unterschiedlichen Branchen. Besonders relevant sind die neuen datenschutzrechtlichen Vorschriften für Verantwortliche, die in ihrer Branche besondere Kategorien von personenbezogenen Daten gem. Art. 9 Abs. 1 DSGVO, wie z.B. Gesundheitsdaten, verarbeiten. Dies ist etwa in Fitness-Studios bezüglich der Gesundheitsdaten der Mitglieder der Fall. Gerade wenn man an die Videoüberwachung im Fitness-Studio denkt oder an individuelle Trainingspläne, welche öffentlich zugänglich ausliegen, weiß man das in Fitness-Studio noch einiges im Bezug auf Datenschutz nachgeholt werden darf. Was Fitness-Studios im Zusammenhang mit den Bestimmungen der DSGVO hinsichtlich des Datenschutzes wissen müssen, erfahren Sie in diesem Blogbeitrag. 

 

Müssen Fitness-Studios einen Datenschutzbeauftragten bestellen?

Ein Datenschutzbeauftragter kann sowohl intern, also z.B. innerhalb eines Betriebs, oder extern, über einen Dienstleistungsvertrag, bestellt bzw. benannt werden. Ab wann ein Datenschutzbeauftragter bestellt werden muss, definiert die DSGVO und insbesondere das neue Bundesdatenschutzgesetz (BDSG-neu). So muss der Verantwortliche und der Auftragsverarbeiter gem Art. 37 Abs. 1 DSGVO auf jeden Fall einen Datenschutzbeauftragten benennen, wenn:

  • die Verarbeitung von personenbezogenen Daten von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, soweit sie im Rahmen ihrer justiziellen Tätigkeit handeln (Art. 37 Abs. 1 lit.a) DSGVO),
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (Art. 37 Abs. 1 lit.b) DSGVO), oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 Abs. 1 DSGVO (z.B. in Form von Gesundheitsdaten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 DSGVO besteht (Art. 37 Abs. 1 lit. c) DSGVO).

Insbesondere bei Fitness-Studios kommt somit die letzte Variante (Art. 37 Abs. 1 lit. c) DSGVO in Betracht, da hier regelmäßig Gesundheitsdaten verarbeitet werden. Nach dem Wortlaut von Art. 37 Abs. 1 lit. c) DSGVO ist allerdings entscheidend, dass die Gesundheitsdaten umfangreich verarbeitet werden.

Dies dürfte in den meisten Fitness-Studios regelmäßig der Fall sein. Im Rahmen eines Audits sollte geprüft und festgestellt werden, ob ein Datenschutzbeauftragter bestellt werden muss. Bei der Verarbeitung von Gesundheitsdaten sprechen wegen Art. 37 Abs. 1 lit. c) DSGVO viele Argumente für eine Bestellpflicht.

Bestellpflicht für Fitness-Studios nach BDSG-neu?

Unabhängig von der umfangreichen Verarbeitung von Gesundheitsdaten nach Art. 37 Abs. 1 lit. c) DSGVO kann sich zusätzlich eine Bestellpflicht für einen Datenschutzbeauftragten aus dem nationalen BDSG-neu ergeben: Gem. § 38 Abs. 1 S.1 BDSG-neu müssen der Verantwortliche und der Auftragsverarbeiter ergänzend zu Art. 37 Abs. 1 DSGVO einen Datenschutzbeauftragten benennen, soweit sie in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen. 

Aktuell steht § 38 Abs. 1 S.1 BDSG-neu unmittelbar vor einer Gesetzesänderung: Durch das zweite Datenschutz-Anpassungsgesetz soll  die Anzahl von mindestens zehn Personen auf mindestens 20 Personen angehoben werden. Das hat der Bundestag in der Nacht zum 27. Juni 2019 beschlossen. Der Bundesrat muss dem Gesetz noch zustimmen.

In § 38 Abs. 1 S.2 BDSG-neu sind weitere Konstellationen für eine Bestellpflicht eines Datenschutzbeauftragten geregelt: Nehmen der Verantwortliche oder der Auftragsverarbeiter Verarbeitungen vor, die einer Datenschutz-Folgenabschätzung gem. Art. 35 DSGVO unterliegen, oder verarbeiten sie personenbezogene Daten geschäftsmäßig zum Zweck der Übermittlung, der anonymisierten Übermittlung oder für Zwecke der Markt- oder Meinungsforschung, haben sie unabhängig von der Anzahl der mit der Verarbeitung beschäftigten Personen einen Datenschutzbeauftragten zu benennen bzw. bestellen. 

Im alten Bundesdatenschutzgesetz wurde noch die Formulierung “Bestellung” bezüglich des Datenschutzbeauftragten verwendet. In der DSGVO und im neuen Bundesdatenschutzgesetz (BDSG-neu) wird nur noch die Formulierung “Benennung” verwendet. Mit beiden Begriffen ist die Pflicht gemeint, einen Datenschutzbeauftragten beauftragten zu müssen. 

 

Richtige Rechtsgrundlage für die Datenverarbeitung im Fitness-Studio

In der Datenschutz-Grundverordnung sind die Rechtsgrundlagen in Art. 6 DSGVO geregelt. Eine der definierten Rechtsgrundlagen ist beispielsweise die Einwilligung nach Artikel 6 Abs. 1 lit. a) DSGVO. Eine Besonderheit bei dem Datenschutz in Fitness-Studios ist, dass in der Regel besondere Kategorien von personenbezogenen Daten verarbeitet werden, dadurch müssen ebenfalls die Bedingungen aus dem Artikel 9 DSGVO beachtet und erfüllt werden. Kategorien besonderer personenbezogener Daten sind beispielsweise Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen.

Grundsätzlich ist die Datenschutz-Grundverordnung als ein Verbot mit Erlaubnisvorbehalt zu verstehen, das heißt, dass eine explizite Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, insbesondere von besonderen Kategorien von personenbezogenen Daten, erforderlich ist. Hat der Verantwortliche keine zulässige Rechtsgrundlage für die Verarbeitung von personenbezogenen Daten, darf die Verarbeitung nicht getätigt werden. Wir empfehlen Ihnen daher die Prüfung der Rechtsgrundlagen wie eine Checkliste zu bearbeiten, mindestens eine der 6 Rechtsgrundlagen muss für Ihre Verarbeitung zutreffend sein:

Einwilligungserklärung (Art. 6 Abs. 1 lit. a) DSGVO)

Das Mitglied oder der Interessent (potenzielles Mitglied) hat seine Einwilligung zu der Verarbeitung der ihn betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

Geschäftsbeziehung (Art. 6 Abs. 1 lit. b) DSGVO)

Die Verarbeitung ist für die Erfüllung eines Vertrags vom Fitness-Studio, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person (potenzielles Mitglied) erfolgen.

Rechtliche Verpflichtung (Art. 6 Abs. 1 lit. c) DSGVO)

Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher das Fitness-Studio unterliegt.

Lebenswichtige Interessen (Art. 6 Abs. 1 lit. d) DSGVO)

Die Verarbeitung ist erforderlich, um lebenswichtige Interessen des Kunden oder einer anderen natürlichen Person zu schützen.

Öffentliche Interessen (Art. 6 Abs. 1 lit. e) DSGVO)

Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Fitness-Studio übertragen wurde.

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f) DSGVO)

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Fitness-Studios oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen.

Besondere Rechtsgrundlage für die Verarbeitung von besonderen Kategorien im Fitness-Studio

Da Fitness-Studios auch bzw. insbesondere Gesundheitsdaten und somit Kategorien besonderer personenbezogener Daten verarbeiten, ist eine Rechtsgrundlage i.S.v. Art. 9 Abs. 2 DSGVO erforderlich. Folgende Rechtsgrundlagen kommen danach in Betracht:

Darüber hinaus sind auch die Regelungen aus Art. 9 Abs. 3 und Abs. 4 DSGVO zu beachten. Insbesondere eine Einwilligung i.S.v. Art. 9 Abs. 2 lit. a) DSGVO kommt für die Verarbeitung von Gesundheitsdaten durch Fitness-Studios in Betracht. Die stattfindenden Datenverarbeitungsprozesse sollten gemeinsam mit dem Datenschutzbeauftragten ermittelt werden, damit der Datenschutzbeauftragte im Anschluss die erforderlichen Rechtsgrundlagen feststellen und erforderliche Dokumente, wie z.B. Einwilligungen, erstellen kann.

Datenschutzbeauftragter
Kontakt Nils Möllers
Guten Tag.
Ich bin Nils Möllers.
Datenschutzbeauftragter.
Münsteraner.
Geschäftsführer.
Problemlöser.

Nils Möllers ist Ihr externer Datenschutzbeauftragter in Münster und Umgebung. Vom Hauptsitz in Altenberge koordiniert er zusätzlich die bundesweiten Standorte. Die Schwerpunkte seiner Tätigkeit liegen in den Bereichen Datenschutzmanagement, Schulung Ihrer Mitarbeiter im Datenschutz sowie Informationssicherheit und Risikomanagement.

Nils Möllers ist Ihr externer Datenschutzbeauftragter in Münster und Umgebung. Vom Hauptsitz in Altenberge koordiniert er zusätzlich die bundesweiten Standorte. Die Schwerpunkte seiner Tätigkeit liegen in den Bereichen Datenschutzmanagement, Schulung Ihrer Mitarbeiter im Datenschutz sowie Informationssicherheit und Risikomanagement.

 

Datenschutz Dokumentation im Fitness-Studio

Ferner ist zu prüfen, ob für Ihr Fitness-Studio bereits ein Verzeichnis von Verarbeitungstätigkeiten (VVT) nach Art. 30 DSGVO angefertigt wurde oder ob ein komplett neues VVT noch angelegt werden muss. Geprüft werden muss zudem, ob alle Auftragsverarbeiter identifiziert und erforderliche Auftragsverarbeitungsverträge mit allen Auftragsverarbeitern abgeschlossen wurden. Die Datenschutz-Folgenabschätzung (DSFA) ist in Art. 35 DSGVO geregelt und nicht für jede Verarbeitung von personenbezogenen Daten durchzuführen. Wann und wie eine Datenschutz-Folgenabschätzung durchzuführen ist, ergibt sich zum einen aus Art. 35 DSGVO und aus den Listen der jeweiligen Datenschutzbehörden der Bundesländer, nach der eine Datenschutz-Folgenabschätzung durchzuführen ist und wann nicht. In diesem Zusammenhang berät Sie Ihr Datenschutzbeauftragter und unterstützt Sie bei den durchzuführenden Maßnahmen. 

 

Mitarbeiterdatenschutz im Fitness-Studio

Insbesondere aufgrund der Berührung mit besonderen Kategorien von personenbezogenen Daten wie Gesundheitsdaten sind Mitarbeiter in jedem Fitness-Studio bezüglich des Datenschutzes zu schulen. Die Schulungen können dabei persönlich durch den Datenschutzbeauftragten durchgeführt werden oder flexibel mittels E-Learning und Online-Schulungen.Wichtig ist in diesem Zusammenhang ein entsprechender Nachweis bezüglich der durchgeführten Schulungen. Darüber hinaus müssen Mitarbeiter in Fitness-Studios auf das Datengeheimnis gem. Art. 32 Abs. 1 lit. b) 2. Var. DSGVO verpflichtet werden. Informationen zum Datenschutz i.S.v. Art. 12 bis Art. 14 DSGVO müssen ebenfalls bezüglich der Verarbeitung von Mitarbeiterdaten transparent gegenüber Beschäftigten erfüllt werden. Die Nutzung der IT und des Internets von Fitness-Studios durch Mitarbeiter sollten ebenfalls durch entsprechende Richtlinien schriftlich geregelt werden.

 

Technisch-organisatorische Maßnahmen im Fitness-Studio

Der Datenschutzbeauftragte muss die technisch-organisatorischen Maßnahmen i.S.v. Art. 32, 25 DSGVO eines Fitness-Studios prüfen und dokumentieren und ggfs. Optimierungsvorschläge erarbeiten und etablieren. Im Rahmen einer ausführlichen Bestandsaufnahme und durch regelmäßige Auditierungen werden technisch-organisatorische Maßnahmen durch den Datenschutzbeauftragten identifiziert. Aufgrund der Sensibilität von Gesundheitsdaten ist hier ein besonders hoher Standard für die technisch-organisatorischen Maßnahmen einzurichten. Das bedeutet, dass bei der datenschutzkonformen Optimierung im Fitness-Studio auch der IT-Dienstleister (übrigens Auftragsverarbeiter) stark involviert sein muss.

 

Informationspflichten gegenüber Mitgliedern

Auch gegenüber Mitglieder, Lieferanten und sonstigen Geschäftspartnern müssen die Informationspflichten nach Art. 12 bis Art. 14 DSGVO erfüllt werden. Die Datenschutzerklärung für die Website eines Fitness-Studios ist ebenfalls von zentraler Bedeutung und muss alle Mindestvorgaben an Informationen aus der DSGVO erfüllen. Insbesondere der Einsatz verschiedener sozialer Netzwerke, wie z.B. Facebook, bedarf einer gesonderten datenschutzrechtlichen Prüfung.Auch ein Verfahren für die Bearbeitung von Betroffenenrechten, wenn betroffenen Personen von diesen Gebrauch machen, muss in einem Fitness-Studio eingerichtet sein. Berechtigungs- und Löschkonzepte bezüglich personenbezogener sollten schriftlich ausgefertigt zur Verfügung stehen. Dies gilt in der Regel für alle erforderlichen datenschutzrechtlichen Maßnahmen, um der Rechenschaftspflicht gem. Art. 5 Abs. 2 DSGVO nachzukommen. Auch ein Konzept für die rechtzeitige und formgerechte Meldung von Datenpannen und Datenschutzverstößen innerhalb der genannten Fristen der DSGVO sollte gemeinsam mit dem Datenschutzbeauftragten erarbeitet werden.

 

Videoüberwachung im Fitness-Studio

Zu den Informationspflichten gehört unter anderem ein Hinweisschild welches die Kontaktdaten des Fitness-Studios und dessen Datenschutzbeauftragten beinhaltet, als auch über den Zweck, die Rechtsgrundlage, das berechtigte Interesse und über die Dauer der Speicherung von Videoaufnahmen informiert.

Außerdem sollte ein weiterer Hinweis auf dem Schild für Videoüberwachung zum Auskunftsrecht und Beschwerderecht gegeben sein. Höchst praxisrelevant ist letztendlich auch die Pflicht zur Datenschutz Folgenabschätzung (DSFA) wenn es sich um eine „systematisch umfangreiche Überwachung öffentlich zugänglicher Bereiche“ (Videoüberwachung) handelt; vgl. Art. 35 Abs. 1 DSGVO.

Auswirkungen von Unsicherheiten und Risiken, speziell für den Schutz personenbezogener Daten in Verbindung mit Videoüberwachung und Datenschutz sind in dem Schweregrad sehr hoch. Achten Sie also darauf, dass durch die technisch- und organisatorischen Maßnahmen die Bilddaten überdurchschnittlich geschützt werden, sodass die Eintrittswahrscheinlichkeit eines Datenschutzverstoßes sehr gering ist. Dabei sind insbesondere Löschfristen und Berechtigungskonzepte von hoher Bedeutung. Aus unserer Praxiserfahrung können wir berichten, dass Mitglieder eines Fitness-Studios im Rahmen einer Kündigung gerne nochmal mit der Videoüberwachung beschäftigen.

 

Datenschutz-Prüfung Fitness-Studio

Die Keyed GmbH ist bei vielen Fitness-Studios als externer Datenschutzbeauftragter bestellt, weshalb wir aus unserer Erfahrung die relevanten Fragen, welche in einer Datenschutz-Prüfung vorkommen, zusammenstellen können. Als Betreiber eines Fitness-Studios sollten Sie folgende Fragen beantworten können gegenüber der Aufsichtsbehörde:

Warum halten Sie es für erforderlich, die Daten der Check-In / Check-Out Zeiten zu speichern?
Legen Sie uns eine Kopie Ihrer Datenschutzhinweise, die Sie den Kunden bei Vertragsschluss vorlegen, vor.
Bitte legen Sie uns eine Kopie Ihrer Verarbeitungs-Verzeichnisse vor.
Betreiben Sie Profiling Ihrer Mitglieder?
Beschreiben Sie Ihr Löschkonzept insbesondere für Mitglieder.
Wieviele Mitarbeiter verarbeiten bei Ihnen Daten?
Haben Sie eine Videoüberwachung installiert? Wenn ja, wieviele?
Wielange werden Videoaufzeichnungen gespeichert?
Erstellen Sie Ernährungspläne & Trainingspläne, wenn ja, wie werden diese gespeichert?
 

Konsequenzen bei Verstößen gegen die DSGVO

Die Nichteinhaltung der datenschutzrechtlichen Vorgaben nach der DSGVO können schwere Folgen nach sich ziehen: Gem. Art. 83 Abs. 4 und Abs. 5 DSGVO drohen bei Verstößen Bußgelder in Höhe von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge höher ist. Welche Bußgelder bisher von den zuständigen Aufsichtsbehörden erteilt wurden, erfahren Sie hier.

Bei allen weiteren erforderlichen datenschutzrechtlichen Maßnahmen nach der DSGVO und dem BDSG-neu, die in diesem Beitrag nicht abschließend genannt sind, unterstützt Sie Ihr Datenschutzbeauftragter. Melden Sie sich jetzt bei den Experten von Keyed für eine kostenlose und unverbindliche Erstberatung.

Menü