DSGVO und IT-Sicherheit im Fitnessstudio
Es ist Jahresanfang und die meisten Menschen arbeiten an ihrer Sommerfigur. Wo kann man das besser als im Fitnessstudio nebenan. Wer ein Studio seines Vertrauens sucht, der sollte natürlich darauf achten, dass er die richtigen Trainer um sich hat. Aber was immer wichtiger wird für die Trainierenden: Wie wird in meinem Trainingsbereich eigentlich mit meinen Daten umgegangen?
Wenn Sie ein Fitnessstudio betreiben, sollten Sie also auch genau wissen, worauf Sie im Umgang mit den personenbezogenen Daten Ihrer Mitglieder achten müssen. Dieser Blogartikel von Datenschutzberater.NRW befasst sich genau mit diesem Thema und gibt Ihnen Tipps, wie Sie Daten der Betroffenen schützen können und die DSGVO einhalten.
Personenbezogene Daten im Fitnessstudio
Wer als Mitglied in einem Fitnessstudio angemeldet ist, der kennt die Daten, die für eine Aufnahme und den Vertragsabschluss nötig sind. Neben der typischen vertraglich notwendigen personenbezogenen Daten wie Name und Anschrift etc., werden in Fitnessstudios in den meisten Fällen auch Gesundheitsdaten verarbeitet. Dazu gehören auch Daten, die einen Rückschluss auf gesundheitliche Daten zulassen – aus Größe und Gewicht kann ein BMI errechnet werden usw. Diese Daten gehören laut Datenschutzgrundverordnung (DS-GVO) und Bundesdatenschutzgesetz (BDSG) zu den besonderen Arten personenbezogener Daten. Wer diese Daten verarbeitet, muss grundsätzlich einiges beachten:
- i. d. R. wird ein (externer) Datenschutzbeauftragter benötigt
- bei Verarbeitung von Gesundheitsdaten sollte eine Risikoanalyse durchgeführt werden
- meist bedarf es einer Datenschutzfolgenabschätzung
- grundsätzlich ist bei der Verarbeitung aller personenbezogener Daten ein Verfahrensverzeichnis zu führen und
- es müssen Betroffenenrechte (Recht auf Löschung, Widerrufsrecht etc.) eingehalten werden (gilt generell für die Verarbeitung aller personenbezogenen Daten)
- erstellen eines Datenschutzmanagementsystems (gilt generell für die Verarbeitung aller personenbezogenen Daten)
- Dokumentation von technisch-organisatorischen Maßnahmen (TOMs) (gilt generell für die Verarbeitung aller personenbezogenen Daten)
Datenschutz im Fitnessstudio – was noch zu beachten ist
Die Daten in einem Fitnessstudio werden auch heute noch oft in klassischen Dokumenten geführt, die nicht selten frei zugänglich für alle aufbewahrt werden. Auch wenn die Gesundheitsdaten aus der Erfassung mittlerweile oft unter Verschluss in speziellen Schränken oder Büros aufbewahrt werden, so sind doch oft Dinge wie Vor- und Zunahme und der Trainingsplan recht frei zugänglich. Auch wenn dies für die Nutzung des Studios natürlich unumgänglich ist, sollte hier genau geprüft werden, wie man die Daten möglichst anonym vor den Augen Dritter schützen kann.
Bei der Erstaufnahme sollte daher immer beachtet werden, dass kein Dritter die Daten einsehen oder mithören kann. Schaffen Sie einen gesonderten Raum, in dem Sie alle – vor allem die gesundheitlichen – Daten mit Ihrem neuen Kunden besprechen können. Das gilt natürlich auch für jedes weitere Gespräch, in dem diese Daten verarbeitet werden.
Der Bildschirm Ihres PCs sollte ebenfalls nicht einsehbar und immer durch ein Passwort gesperrt sein, wenn Sie den Platz verlassen. Gespräche über personenbezogene Daten sollten nie mitten im Studio stattfinden. Bei Daten, die über die nötigen gesetzlichen Angaben zur Erfüllung des Vertrags hinausgehen, müssen Sie immer eine Einwilligung zur Verarbeitung der Daten vom Betroffenen einholen und natürlich auch den Widerruf beachten.
IT-Sicherheit und Mitarbeiterschulungen
Viele Fitnessstudios erfassen die Daten Ihrer Mitglieder mittlerweile in einem IT-System. Auch Zugangsscanner mit Armbändern oder anderen chipgesteuerten Systemen ermöglichen es den Benutzern, zu vielen unterschiedlichen Zeiten das Studio zu nutzen. Nicht selten erfolgt dabei auch eine Registrierung durch ein Foto usw.
So schön, sicher und praktisch dieser Zugang in ein Studio auch ist, wo IT zur Verarbeitung genutzt wird, da muss auch ein entsprechendes Sicherheitskonzept und eine gute Firewall genutzt werden. Auch die erfassten personenbezogenen Daten müssen zwingend ausreichend geschützt werden.
Das Erstellen eines ausreichenden Sicherheitskonzeptes zusammen mit einem Fachmann sollte daher für jeden Fitnessstudio-Betreiber an erster Stelle stehen.
Alle Mitarbeiter, die in einem Fitnessstudio mit personenbezogenen Daten arbeiten (nicht nur die der Mitglieder), sollten natürlich ausreichend und regelmäßig geschult sein. Sensibilisieren Sie Ihre Mitarbeiter dafür, wie Sie mit den Daten umgehen müssen, um den Datenschutz einzuhalten. Lesen Sie dazu auch unseren Blog Mitarbeiterschulungen.
Kameraüberwachung
Immer öfter wird durch die ausgedehnten Nutzungszeiten und ein vermehrtes Bedürfnis nach Sicherheit auch eine Kameraüberwachung in den Studios eingeführt. Das Filmen von Personen gilt als Verarbeiten von personenbezogenen Daten und unterliegt somit der EU-DSGVO und dem Bundesdatenschutzgesetz.
Wenn Sie Kameras in Ihrem Studio aufbauen, müssen Sie entsprechende Hinweisschilder anbringen, die unter anderem die Kontaktdaten des (externen) Datenschutzbeauftragten, den Zweck der Verarbeitung, Speicherdauer und nicht zuletzt den Hinweis darauf beinhalten, dass hier Filmaufnahmen erstellt werden. Beachten Sie, dass die Schilder so angebracht sind, dass sich der Betroffene vor der Aufzeichnung dafür oder dagegen entscheiden kann, gefilmt zu werden. Bei der Nutzung der Kameraaufnahmen müssen Sie eine Datenschutzfolgenabschätzung durchführen.
Sowohl für die Verarbeitung der personenbezogenen Daten als auch für die Aufnahmen durch eine Kamera, bedarf es der Dokumentation der technisch-organisatorischen Maßnahmen (TOMs). Hierfür sollten Sie auf jeden Fall einen Fachmann hinzuziehen.
Auch Sportvereine müssen sich an die Einhaltung der DSGVO halten
Was für Fitnessstudios gilt, muss natürlich auch von Sportvereinen eingehalten werden. Hier werden ebenso personenbezogene Daten verarbeitet – daher greift in jedem Fall DSGVO und BDSG. Werden Gesundheitsdaten verarbeitet, müssen die oben genannten Punkte eins zu eins umgesetzt werden.
Ein Sportverein hat also keine Sonderstellung, sondern kann im Datenschutz dem Sportstudio quasi gleichgestellt werden.
Datenschutz und Datensicherheit – wegen der verschiedenen Kategorien und Kameraüberwachung unbedingt an einen Fachmann übergeben
Grundsätzlich muss sich ein Fitnessstudio, genauso wie jedes Unternehmen an die Vorgaben der EU-DSGVO halten. Aufgrund der besonderen Art der personenbezogenen Daten und der Kameraüberwachung, kann man davon ausgehen, dass jedes Fitnessstudio vermutlich einen Datenschutzbeauftragten berufen muss und in jedem Fall – zusätzlich zu den üblichen Vorgaben der Datenschutzgrundverordnung und des BDSG – eine Datenschutzfolgenabschätzung durchführen muss.
Das Thema ist natürlich gerade für Fitnessstudios, die nicht einer großen Kette angehören, durch die der Datenschutz sichergestellt ist, nur schwierig zu bewältigen. Einzuschätzen, ob der Datenschutz nach geltendem Recht eingehalten wird, um Abmahnungen und Strafen vorzubeugen, fällt so manchem Betreiber verständlicher Weise nicht immer leicht. Hinzu kommt noch die Komplexität der IT- und Daten-Sicherheit, mit dem das Studio ausgestattet werden muss, um alle technisch-organisatorischen Maßnahmen sicher ausreichend durchzuführen und zu dokumentieren.
In den überwiegenden Fällen empfiehlt es sich daher, einen Datenschutzberater hinzuzuziehen, der Ihr Studio aus Datenschutzsicht bewerten kann und ebenfalls die IT-Sicherheit betreuen kann. Als externer Datenschutzbeauftragter kann er Ihnen die nötige Hilfestellung für eine DSGVO-konforme Bearbeitung der personenbezogenen Daten Ihrer Mitglieder liefern.
Mit Datenschutzberater.NRW haben Sie einen fachlich kompetenten Partner, der für Sie eine praktikable Möglichkeit bietet, um Ihr Fitnessstudio in allen Bereichen fit für DSGVO und BDSG macht.
Unser Angebot umfasst unter anderem folgende Schwerpunkte:
- externer Datenschutzbeauftragter / Unterstützung Ihres Datenschutzbeauftragten oder Datenschutzkoordinators
- Datenschutz-Erstberatung
- Datenschutz-Audit
- Unterstützung bei Datenschutzfolgenabschätzung, Verfahrensverzeichnissen, Umsetzung von Betroffenenrechten etc.
- IT-Audit
- IT-Sicherheitskonzept
- GoBD-Beratung
Wenn Sie Beratung zum Thema Datenschutz in Ihrem Fitnessstudio, Sportverein o.ä. im Raum Köln, Bonn, Düsseldorf und NRW benötigen, dann kontaktieren Sie uns gerne per E-Mail, über FREECALL oder über unser Kontaktformular.
Dennis Manz ist seit über 20 Jahren selbstständig. Ist in der IT für unterschiedliche Branchen und seit langer Zeit auch im Bereich Buchhaltung und Steuerrecht tätig. Als Gründer und Geschäftsführer der Datenschutzberater.NRW GmbH betreut er zusammen mit seinem Team erfolgreich Unternehmen, Praxen, Steuerberater und unterschiedliche Einrichtungen in Sachen Datenschutz und GoBD-Beratung.