Wichtig: Datenschutz im Fitnessstudio ab Mai 2018

Ist die neue Datenschutzverordnung (DSGVO) nur Angstmacherei? Leider nein! Gerade für Fitnessstudios rollt etwas auf uns zu, von dem die meisten Fitnessstudio Inhaber noch gar nichts wissen. 

Am 25. Mai 2018 tritt die neue EU-DSGVO in Kraft. Sowohl für Fitnessstudios als auch für Privatpersonen bringt sie viele unangenehme Veränderungen im Gegensatz zur bisherigen Rechtslage.

Zum Beispiel haben Fitnessstudio-Unternehmen keine Schonfrist mehr bezogen auf Datenschutzverstöße, sondern zahlen sofort satte Strafen.

Laut der neuen Verordnung dürfen diese bis zu 20.000.000 Euro hoch sein. Ja, 20 Millionen, Du hast richtig gelesen. Im Einzelfall werden es jedoch deutlich geringere Strafen sein.

Ab 25. Mai 2018 gilt in ganz Europa die neue Datenschutzgrundverordnung (DSGVO) der Europäischen Union (EU). Durch das neue EU-Recht werden unmittelbar das bisherige Bundesdatenschutzgesetz (BDSG) und die EU-Datenschutzrichtlinie abgelöst.

Ziel ist den Datenschutz in Fitnessstudios und anderen Unternehmen deutlich zu erhöhen. Aus diesem Grund gibt es keine Abmahnung oder eine Frist, bis wann man bei einer Prüfung aufgedeckte Mängel, beseitigen muss, sondern es hagelt sofort Sanktionen und Strafen.

Die Beträge dieser Sanktionen wurden bewusst so hoch gewählt, dass es jedem (!) Unternehmer weh tun wird. Dabei glauben sich viele Fitnessstudio Inhaber noch in Sicherheit, da laut DSGVO nur Unternehmen mit mindestens 10 Mitarbeitern sich an die strengen Auflagen halten müssen. Doch weit gefehlt:

Auf der einen Seite gehören zu diesen 10 Mitarbeitern auch die Geschäftsleitung, 450€ Kräfte, selbstständige Trainer usw. auf der anderen Seite arbeiten wir im Fitnessstudio mit sensiblen Daten!

Von sensiblen Daten ist die Rede, wenn diese in einem Kontext Rückschlüsse oder ein Personenprofil zulassen würden. Nehmen wir nur als Beispiel Name der Person, Körpergröße und Gewicht, lässt sich daraus bereits der BMI schließen und damit haben wir bereits einen hochsensiblen, da gesundheitlichen Wert.

Neben diesem einfachen Beispiel erheben wir allein bei der Anamnese oder in einem Beratungsbogen hochsensible Daten wie zum Beispiel Vorerkrankungen, Trainingsziele etc. Wer Rehasport anbietet, erhält diese Daten sogar direkt vom Arzt.

Ein weiterer Punkt ist die Vernetzung von Geräten. Egal ob Chipkarten gesteuerte Kraftzirkel oder Cardiogeräte. Sobald Daten an Dritte, wie zum Beispiel Hersteller, weitergeleitet werden, muss es eine Datenschutzvereinbarung mit dem Hersteller geben und Kunden müssen über diesen Sachverhalt informiert werden bzw. ihre schriftliche Einwilligung geben, dass diese Daten weitergegeben werden dürfen.

Aus diesem Grund wird es kaum ein Fitnessstudio geben, das sich um die drei wichtigsten Punkte der neuen Datenschutzverordnung herumdrücken kann.

Bis zum 25. Mai 2018 müssen Fitnessstudios laut der DSGVO drei Hauptelemente einrichten bzw. bei einer Prüfung vorzeigen können, sonst gibt´s Ärger und das wird richtig teuer.

Wenn Du ein Fitnessstudio hast und auf die neue Datenschutzverordnung vorbereitet sein willst, gibt es drei wesentliche, aber in sich umfangreiche Bereiche zu erfüllen:

Jedes Unternehmen und damit auch jedes Fitnessstudio muss einen Datenschutzbeauftragten bestellen. Dies kann ein Mitarbeiter sein, der sich intensiv um den Datenschutz im Unternehmen kümmert.

Der Fitnessstudio Mitarbeiter muss dazu ausgebildet werden (Dauer ca. 5-7 Tage Schulung und Kosten von 2000 bis 4000 Euro) sowie öffentlich benannt werden. Dieser Mitarbeiter genießt ab dann Kündigungsschutz, ähnlich einem Betriebsrat.

Der Datenschutzbeauftragte darf weder Teil der Geschäftsleitung, der Personalverwaltung noch ein Familienangehöriger sein und muss jährlich eine Schulung zur Auffrischung absolvieren, was wieder mit Kosten verbunden ist.

Die Alternative ist ein externer Datenschutzbeauftragter für Dein Fitnessstudio.

Darum hinaus musst Du in Deinem Fitnessstudio eine schriftliche Dokumentation verfassen wie, wo, auf welche Art und aus welchen Gründen Du welche Daten erhebst.

Da wir im Fitnessstudio mit sogenannten sensiblen Daten wie Krankheiten, Gewicht, Größe, Alter, Trainingszielen etc. arbeiten, spielt es keine Rolle ob wir 2 oder 20 Mitarbeiter beschäftigen.

Die Dokumentationspflicht eines Fitnessstudio Betriebs ist bereits jetzt gesetzlich vorgeschrieben, nur haben wir uns in der Fitnessbranche bisher nur stiefmütterlich mit diesem Thema beschäftigt.

Ziel dieser Dokumentation ist, bei einer Prüfung oder auch nur wenn ein Mitglied danach fragt, transparente Auskunft darüber zu geben, was mit den Daten einzelner Mitglieder, Mitarbeiter oder Interessenten geschieht, wie diese gespeichert und vor allem gesichert sind.

Selbst die IP-Adresse eines Interessenten, der lediglich Deine Website besucht, gehört zu den Daten, über die wir Auskunft geben müssen zum Beispiel durch die Verwendung von Google Analytics.

Laut dem neuen Datenschutzgesetz müssen Mitarbeiter, die mit Personendaten im Unternehmen in Berührung kommen, ab Mai mindestens einmal pro Jahr geschult werden. Hier gilt die Nachweispflicht, dass diese Schulungen regelmäßig erfolgen.

Ziel ist es, die Wichtigkeit des Datenschutzes auch in den Köpfen der Mitarbeiter zu verankern.

Diese Aufgabe kann der interne Datenschutzbeauftrage übernehmen. Aber je nach Unternehmensgröße kann es schwer werden, alle Mitarbeiter an einem Tag zusammen zu trommeln. Das Tagesgeschäft würde liegen bleiben und schlussendlich kostet es uns Zeit, Geld und Nerven.

Wer heute ein Fitnessstudio betreibt muss sich bis zum 25. Mai um das Thema Datenschutz kümmern und vorsorgen. Im 3030 Braintrust (einem Netzwerk aus wenigen kleinen und mittelständigen Fitnessstudios) werden wir uns zu einer Interessengemeinschaft zusammenschließen, was die Kosten für einen externen Datenschutzbeauftragten sowie die regelmäßigen Schulungen der Mitarbeiter und die schriftliche Dokumentation deutlich verringern wird.

Nur in der Gruppe sind wir stark und können so hohe Strafen und die Kosten für einen externen Dienstleister möglichst geringhalten. Denn eines ist klar:

Wer jetzt nicht handelt und vorbereitet ist, der wird ab Mai auf sehr unsicherem Eis wandeln. Es wird davon ausgegangen, dass sich Fitnessstudios gegenseitig anschwärzen werden, wie es in der Vergangenheit schon in anderen hart umkämpften Märkten anderer Branchen der Fall war. 

Der 3030 Braintrust ist neben der Interessengemeinschaft ein Zusammenschluss einiger Studioinhaber, die sich gegenseitig unterstützen noch erfolgreicher zu werden. Dazu zählt neben den monatlichen Webinaren und den persönlichen Treffen (3 mal im Jahr) der konsequente Austausch von Erfolgsstrategien, Marketing und Management per Whatsapp oder der Facebook Gruppe. Die Kosten sind überschaubar und es gibt keine bindende Laufzeit oder ähnliches. Die Mitgliedschaft im 3030 Braintrust ist jederzeit zum Monatsende kündbar!

Hinterlasse einen Kommentar zu diesem Beitrag wenn Du weitere Anregungen, Fragen oder Ideen hast. Vielen Dank!