Fachartikel im Magazin „Bodylife“ – Datenschutz in der Fitnessbranche

Datenschutz

Sechs Monate nach der DSGVO

Fachartikel im Magazin Bodylife
Fachartikel im Magazin Bodylife

Vor knapp 200 Tagen sind die Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG n.F.) in Kraft getreten. Im Vorfeld war viel Unsicherheit in der Fitnessbranche zu spüren. Was ist seitdem passiert?

Ab Mitte Februar dieses Jahres häuften sich bei den Datenschutzberatern rasant die Anfragen von Clubbetreibern, die urplötzlich das Thema „Datenschutz“ für sich entdeckt hatten. Natürlich nicht freiwillig. Die Unsicherheit wurde umso größer, je näher der 25. Mai rückte. Teilweise reagierten die Clubbetreiber panisch und diese Panik führte nicht selten zu wildem Aktionismus. Ab Februar veranstalteten bekannte Branchenverbände Informationstage zum Thema „Datenschutz in den Fitnessstudios“ und es wurden Mustervorlagen und Checklisten angeboten. Bei manch einem Besucher solcher Veranstaltungen war im Anschluss die Verunsicherung noch größer als zu Beginn. Die Aufsichtsbehörden hatten zu diesem Zeitpunkt bei vielen Dingen noch keine einheitliche Auslegung bzw. bei vielen Einzelfragen unterschiedliche Auffassungen. Ein Zustand, der übrigens auch noch heute vorherrscht. So sehen die Thematik „AV-Verträge für Steuerberater“ oder „Facebook-Fanseiten“ nicht alle Aufsichtsbehörden identisch. Dazu aber später noch mehr. Schon Anfang Juni wuchs bei den Clubbetreibern die Erkenntnis, dass sich die Erde auch mit der DSGVO weiterdreht und die Abmahnwelle wie auch Berichte von Horrorbußgeldern ausblieben. Mit dieser Erkenntnis ließ auch das Interesse an der DSGVO bzw. der Umsetzung in den Clubs spürbar nach. Wer als Verantwortlicher nun glaubt, das Thema „Datenschutz“ sei einfach nur aufgeblasen gewesen und nun wieder vom Tisch, der irrt – und zwar gewaltig.

Die Abmahnwelle  blieb  aus

Die Abmahnwelle nach dem 25. Mai 2018 hatte sich sehr schnell erledigt. Es gab kaum Datenschutzabmahnungen. Warum? Die DSGVO ist in vielen Bereichen sehr „schwammig“ formuliert. Das Gesetz kann ausgelegt werden und eine Rechtsprechung gibt es aktuell noch keine. Die E-Privacy-Verordnung, die vieles im Online-Marketing regeln soll, ist noch nicht in Kraft getreten. Ein „Abmahner“ benötigt aber eine klare Rechtslage, damit sein Geschäftsmodell funktioniert. Die Abmahnwelle wird also, wenn sie überhaupt kommt, eher mit der E-Privacy-Verordnung übers Land schwappen. Wobei sich aktuell die Juristen noch darüber streiten, ob die DSGVO überhaupt wettbewerbsrechtlich abmahnfähige Bereiche regelt. Politisch wird aktuell auch daran gearbeitet, dem Geschäftsmodell der Abmahner die Geschäftsgrundlage zu entziehen.

Die Angst vor Bußgeldern ist durchaus berechtigt: Die Aufsichtsbehörden stellen sich gerade auf. Personal wird ausgebildet und die Behörden schaffen die organisatorischen Voraussetzungen, um ab 2019 „arbeitsfähig“ zu sein. Ab dann wird geprüft. Sicherlich werden wir also im Frühjahr 2019 von den ersten Bußgeldern wegen Verstoßes gegen die DSGVO lesen können. Und diese Bußgelder werden es in sich haben. Denn sie sollen abschreckend wirken.

Vorsicht beim Betrieb einer Videoüberwachung

Aber auch heute werden Clubs  bereits „kontrolliert“. Es sind schon mehrere Fälle bekannt, in denen im Oktober Studiobetreiber angeschrieben wurden. Dabei ging es konkret um die Videoüberwachung. Kunden und/oder Mitarbeiter, eventuell auch Mitbewerber haben sich bei der zuständigen Aufsichtsbehörde beschwert. Die Behörde ist nun verpflichtet, diesen Hinweisen nachzugehen und zu ermitteln. Die betroffenen Studios müssen nun nachweisen, dass sie die Videoüberwachung datenschutzkonform betreiben. Dabei belässt es die Aufsichtsbehörde aber nicht. Sie möchte auch gleich das Verzeichnis der Verarbeitungstätigkeiten und weitere Dokumente einsehen. Die Clubs müssen also nicht nur nachweisen, dass die Videoüberwachung rechtmäßig ist, sondern auch, dass die DSGVO-Anforderungen umgesetzt sind. Erklärung: Was kann man sich unter „abschreckend“ vorstellen? Beispiel: Ein Clubbetreiber arbeitet mit einer veralteten Mitgliedersoftware. Das Upgrade zur aktuellen DSGVO-konformen Version ist mit Kosten von 5.000 Euro verbunden. Das Bußgeld wird also mindestens 5.000 Euro betragen.

WhatsApp und Facebook-Fanseiten

Möchte man WhatsApp gewerblich nutzen zum Beispiel zur Kommunikation mit Mitgliedern oder Mitarbeitern, ist dies nicht ohne Weiteres möglich. Hier empfiehlt sich die Nutzung eines alternativen Dienstes. Wenn es WhatsApp sein muss, erfordert dies zwingend ein Nutzungskonzept sowie klare Richtlinien und Vorgaben, um die Anforderungen der DSGVO zu erfüllen.
Im Juni hat der EuGH entschieden, dass die Betreiber einer Facebook- Fanpage gemeinsam mit Facebook als für die Datenverarbeitung Verantwortliche anzusehen sind. Im September hat Facebook reagiert, seine Nutzungsbedingungen angepasst und bietet eine entsprechende Vereinbarung an.
Damit ist die Sache aber noch nicht erledigt. Damit ein Fanseiten-Betreiber DSGVO-konform agiert, muss er seinen Informationspflichten nachkommen und darüber hinaus ein Facebook- Nutzungskonzept erstellen. Auch hier empfiehlt es sich, Expertenrat einzuholen. Denn auch hier sehen die Aufsichtsbehörden die Thematik nicht einheitlich. Das BayLDA empfiehlt tendenziell die Deaktivierung der Fanseite, der LfDI. Baden-Württemberg sieht die Fanseiten bei Umsetzung der oben beschriebenen Punkte als rechtmäßig an.

Sind Steuerberater Auftragsverarbeiter?

Steuerberater sind, ähnlich wie Rechtsanwälte, Banken, Inkassodienstleister oder Postdienste, bei ihrer Auftragsverarbeitung nicht weisungsgebunden und somit eigenständige Verantwortliche für die Datenverarbeitung. Daher muss mit einem Steuerberater kein AV-Vertrag geschlossen werden. Sollte ein Steuerberater ausschließlich die Lohn- und Gehaltsbuchhaltung durchführen, ist dies nicht eindeutig. Hier empfiehlt sich die Rücksprache mit der Aufsichtsbehörde im betreffenden Bundesland, wie der Sachverhalt eingeschätzt wird.

10 Punkte, die bis Ende des Jahres erledigt sein  sollten

Was sollten Clubbetreiber bis Ende des Jahres erledigt haben, um das Risiko ei- nes Bußgeldbescheides wegen eines DSGVO-Verstoßes zu reduzieren?

  1. Ist die Website des Clubs DSGVO-konform? Das heißt: Verschlüsselung, Datenschutzerklärung, Einwilligungen, Transparenzpflichten gegenüber Betroffenen, Sicherheitseinstellungen des Webservers.
  2. Ist ein Datenschutzbeauftragter benannt und der Behörde gemeldet, sofern Benennpflicht besteht?
  3. Schulung, Sensibilisierung und Verpflichtungen der Beschäftigten.
  4. Erfassen aller Verfahren mit Personenbezug inklusive vollständiger Dokumentation im Verzeichnis der Verarbeitungstätigkeiten.
  5. Erstellen des erweiterten Verzeichnisses der Verarbeitungstätigkeiten, um die Rechenschaftspflicht erfüllen zu können.
  6. Optimierung der Prozesse und Verfahren überall dort, wo notwendig, zum Beispiel Umgang mit Verstößen und Datenpannen.
  7. Erfassen der eigenen technischen und organisatorischen Maßnahmen, gegebenenfalls Umsetzung von notwendigen Maßnahmen.
  8. Sorgfältige Prüfung, mit welchen Dienstleistern eine Auftragsverarbeitung besteht, und passende AV-Verträge abschließen.
  9. Löschkonzept entwickeln.
  10. Konzept zur Erfüllung von Betroffenenrechten entwickeln, z.B. Recht auf Auskunft, Recht auf Vergessenwerden, Recht auf Löschung …

Betreiber, die diese zehn Punkte gewissenhaft und sorgfältig abgearbeitet haben – idealerweise mit Unterstützung eines Datenschutzberaters –, können dem Jahr 2019 und der DSGVO-Anforderung entspannt entgegensehen. Doch hier fängt die „Krux“ an: Checklisten finden sich im Internet in Massen, ebenso wie Vorlagen und Muster. Ohne Fachwissen wird sich ein Verantwortlicher schwertun, die Übersicht zu behalten.
Die DSGVO sieht, wie auch schon das alte Bundesdatenschutzgesetz, vor, dass Verantwortliche einen Datenschutzbeauftragten (DSB) zu benennen haben. Neu ist seit 25. Mai 2018, dass dieser auch online der zuständigen Aufsichtsbehörde gemeldet werden muss. Die DSGVO bzw. das BDSG n.F. sieht vor, dass Betriebe mit mehr als zehn Beschäftigten einen Datenschutzbeauftragten zu benennen haben.

Die DSGVO muss zwingend umgesetzt werden

Der Verantwortliche kann einen externen Datenschutzbeauftragten benennen oder einen eigenen Mitarbeiter qualifizieren und zum internen Datenschutzbeauftragten benennen. Beide Varianten haben Vor- und Nachteile.
Betriebe mit weniger als zehn Beschäftigten müssen zwar im Regelfall keinen Datenschutzbeauftragten benennen, dies entbindet sie aber nicht von der Einhaltung der Vorschriften. Das heißt, bei diesen Unternehmen bleibt letztendlich die Umsetzung der Datenschutzvorschriften beim Verantwortlichen hängen. Da dies in der Praxis häufig nicht umgesetzt werden kann, beschreibt die DSGVO explizit die Möglichkeit der freiwilligen Benennung eines Datenschutzbeauftragten.

Datenschutz ist ein kontinuierlicher Prozess

Die meisten Unternehmen haben aus Angst vor Abmahnungen mithilfe ihrer Webagentur und eines Rechtsanwalts die eigene Website aktualisiert und die Anforderungen der DSGVO umgesetzt. Spätestens mit Einführung der E-Privacy-Verordnung muss die Website wieder angepasst werden, gegebenenfalls auch schon früher, sollte es eine entsprechende Rechtsprechung geben.
Das Verzeichnis der Verarbeitungstätigkeiten ist ebenfalls kein Dokument, das man nur einmal erstellt; es soll ständig überarbeitet und entwickelt werden. Die Datenschutzbehörde wird hier bei einer Prüfung entsprechende Revisionsstände einsehen wollen, durch welche die Entwicklung dokumentiert ist. Im Verzeichnis werden sie Löschfristen angeben. Damit allein ist es aber nicht getan. Sie müssen auch tatsächlich löschen können. Das heißt, ein Löschkonzept muss kreiert, Prozesse optimiert und eventuell ein Dokumentenmanagement eingeführt werden. Sie werden sehr oft die Rechtmäßigkeit einer Datenverarbeitung mit Ihrem berechtigten Interesse begründen. Dem berechtigten Interesse geht immer eine Interessenabwägung voraus. Auch dieser Prozess sollte gewissenhaft durchgeführt und dokumentiert sein.
Die genannten Beispiele sind nur einige Punkte, die man in Bezug auf den Datenschutz beachten und umsetzen muss. Auch für den Datenschutz gilt das Prinzip des kontinuierlichen Verbesserungsprozesses (KVP).

Fazit

Die Inhaber oder Geschäftsführer müssen dafür sorgen, dass die Vorgaben der DSGVO in ihrem Club umgesetzt werden. Zur Unterstützung und für die notwendige Fachkunde müssen die Betriebe einen Datenschutzbeauftragten benennen. Kleine Studios mit weniger als zehn Beschäftigten können auf freiwilliger Basis einen DSB benennen. Datenschutz endet nicht nach dem Abarbeiten einer Checkliste, sondern ist ein kontinuierlicher Prozess. Ab 2019 werden die Aufsichtsbehörden „abschreckende“ Bußgelder für Verstöße gegen die DSGVO erheben.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Geschäftsstelle

Barth Datenschutz GmbH
Theodor-Veiel-Straße 94
70374 Stuttgart

Tel: 0711 / 40070720
Fax: 0711 / 40070729
info@barth-datenschutz.de

Logo Mitglieder des BvD in blau

© Copyright - Barth Datenschutz GmbH - 0711 / 40070720 - info@barth-datenschutz.de